Archives par mot-clé : loi

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite) sur la base d’une approche progressive. Cette stratégie illustre le désir du législateur européen de soutenir l’innovation tout en prévenant des disruptions trop violentes pour les acteurs économiques. Elle reflète aussi une reconnaissance de la variété des applications de l’IA, certaines étant avantageuses et peu dangereuses, d’autres risquant d’avoir un impact sévère sur les droits fondamentaux. Il s’agit d’une législation structurante qui ne remplace pas le RGPD ni le droit d’auteur, mais qui s’y superpose. La loi sur l’IA se fonde sur une catégorisation des systèmes d’IA en fonction de leur degré de risque. L’IA s’appuie sur l’exploitation d’une grande quantité de données, dont un bon nombre pourrait être considéré comme des données personnelles. Le RGPD rend obligatoire la détermination d’une base légale pour chaque acte de collecte ou d’utilisation (3). Selon la situation, le traitement peut se baser sur le consentement de l’individu concerné, sur l’exécution d’un contrat, sur un devoir légal, sur la protection des intérêts essentiels, sur une tâche d’intérêt public, ou encore sur le bénéfice légitime du gestionnaire du traitement. Ce fondement peut être considéré pour la formation des modèles. Cependant, il doit toujours être précédé d’une évaluation de proportionnalité et d’un contrôle de compatibilité avec les objectifs initiaux de la collecte.
L’obtention de l’accord est primordiale, particulièrement en ce qui concerne les données sensibles telles que définies par l’article 9, ou lorsque les traitements ne sont pas suffisamment justifiés par une autre base légale. De plus, si les données sont réutilisées pour un but différent de celui qui a motivé leur collecte, le RGPD demande une vérification de la concordance de cette nouvelle finalité (4). Cette évaluation prend en considération le rapport entre l’objectif initial et l’objectif modifié, le contexte de la collecte des données, la nature de ces dernières, les implications pour les individus concernés, ainsi que la présence de sécurités comme le cryptage ou la pseudonymisation.

Le droit de s’opposer au profilage
Le RGPD donne également la possibilité aux Etats membres d’établir des règles spécifiques, en particulier pour les traitements basés sur une obligation légale ou une mission d’intérêt public, afin de définir clairement les conditions de légalité et de structurer les modalités pratiques de leur application. Et toute personne a le droit de ne pas être soumise à une décision exclusivement automatisée, y compris le profilage, si cette décision engendre des conséquences juridiques ou a un impact significatif sur elle (5). Trois exceptions sont prévues à ce principe : la décision peut être valide si elle est indispensable à l’application d’un contrat, si elle est stipulée par la législation de l’UE ou d’un Etat membre, ou si elle repose sur l’accord explicite de l’individu concerné. Quoi qu’il en soit, des assurances particulières doivent être mises en place, notamment le droit d’exiger une intervention humaine, de faire part de ses remarques et de contester la décision.

Délicate soumission à plusieurs textes
De plus, le RGPD proscrit la prise de ces décisions sur des types spécifiques de données sensibles (6), à moins que l’une des exceptions ne soit applicable et que des mesures de protection accrues soient instaurées (7). Cette mesure est particulièrement cruciale pour les systèmes d’IA à risque élevé, notamment dans les domaines du crédit, de l’embauche ou de l’assurance, où la ligne entre automatisation et intervention humaine doit être strictement observée.
Concernant cette fois la propriété intellectuelle, l’AI Act exige une plus grande transparence sur les données utilisées pour la formation, sans toutefois établir un droit de refus. Le choix de sortie cité dans certaines études découle de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » de 2019, directive dite « Copyright » (8) : elle établit une dérogation pour l’extraction de textes et de données à des fins scientifiques (9), alors qu’elle permet l’extraction à des fins commerciales, à condition que les détenteurs des droits ne s’y soient pas formellement opposés (10). On peut également mentionner la protection spécifique des bases de données prévue par la directive « Bases de données » de 1996 (11), qui proscrit l’extraction substantielle ou la réutilisation non permise de contenus.
La coordination entre ces divers systèmes d’IA est délicate. Un projet donné peut être soumis à la fois au RGPD, au droit d’auteur, au droit des bases de données et à l’AI Act en même temps. Les obligations peuvent s’accumuler sans forcément être cohérentes entre elles, ce qui contraint les acteurs à adopter une démarche globale de conformité. Cette dernière comprend la sauvegarde des données personnelles, la reconnaissance des droits de propriété intellectuelle, ainsi que les exigences techniques spécifiques au règlement sur l’IA.
Considérons un cas de figure où un générateur de contenus commerciaux utilise des profils d’utilisateurs (RGPD), des articles de presse (droit d’auteur) et des bases documentaires publiques (AI Act). Conformément au RGPD : obligation de communication, protection des droits individuels, assurances pour les transferts internationaux (12). Conformément au « Copyright » : contrôle des licences, observation des opt-out et considération des exceptions. Conformément à l’AI Act : documentation technique, gestion des données, protocoles de traitement des incidents, contrôle humain et évaluation de conformité réalisée par des entités notifiées. En cas d’infractions, l’AI Act instaure un système de sanctions particulièrement dissuasif, qui s’ajoute et parfois se superpose à celui du RGPD, selon trois niveaux de gravité :
La transgression des prohibitions strictes, telles que manipulation subliminale, exploitation de vulnérabilités, notation sociale, usage abusif de la biométrie, etc., expose les opérateurs à une amende qui pourrait s’élever jusqu’à 35 millions d’euros ou représenter 7 % du chiffre d’affaires annuel global de la société, le montant le plus élevé étant pris en compte (13).
Les infractions aux obligations imposées à divers intervenants de la chaîne (fournisseurs, mandataires, importateurs, distributeurs, déployeurs) ou aux entités notifiées, ainsi que les violations des règles de transparence (14), sont passibles d’une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. En définitive, la communication d’informations fausses, partielles ou induisant en erreur aux instances de régulation peut conduire à une sanction pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires.
La réglementation prévoit un régime allégé pour les PME et les start-up, pour lesquels le seuil applicable est le plus bas entre les montants absolus et les pourcentages mentionnés précédemment. L’AI Act précise également les paramètres d’aggravation ou de mitigation pris en compte par les autorités nationales (15). Chaque Etat membre est tenu d’établir des normes procédurales nationales, de définir l’étendue à laquelle les amendes peuvent s’appliquer aux autorités ou institutions publiques, et d’assurer aux opérateurs des voies de recours juridictionnelles effectives.
On prévoit l’émergence des premiers litiges dès 2025, en particulier concernant les pratiques prohibées par l’AI Act (16), en vigueur depuis le 2 février. Dès le 2 août 2026, les conflits pourraient englober les systèmes à haut risque, avec une prolongation jusqu’en 2027 pour certains équipements inclus dans des produits soumis à réglementation, en particulier dans les domaines financier et médical. Etant donné que la Commission européenne a abandonné sa proposition de directive sur la responsabilité civile de l’IA, le cadre repose désormais sur la directive « Responsabilité du fait des produits défectueux » de 2024, qui englobe les systèmes d’IA et doit être mise en œuvre d’ici décembre 2026.

Les entreprises doivent vite se préparer
Pour être prêtes et en conformité, les entreprises doivent mettre en place des procédures internes solides pour anticiper. Cette préparation sera facilitée par des outils utiles tels que des tableaux de comparaison RGPD/AI Act/ Copyright ou des listes de vérification pour assurer la conformité. Quant aux transferts internationaux de données UE-US, ils demeurent un enjeu majeur. Ils restent soumis au RGPD et aux exigences renforcées des arrêts « Schrems », malgré la confirmation fragile en septembre 2025 (17) du Data Privacy Framework. @

Donald Trump, qui aime être appelé « président de l’Europe », s’en prend aux lois numériques de l’UE

Publié le par

A peine la présidente de la Commission européenne Ursula von der Leyen avait-elle signé le 21 août un accord commercial et douanier avec le président des Etats-Unis Donald Trump que celui-ci lançait une charge contre la législation numérique des Vingt-sept. Comme tétanisé, Bruxelles ne lui a pas répondu.

(Au moment où nous publiions le 5 septembre cet article dans EM@, la Commission européenne infligeait à Google 2,95 milliards d’euros d’amende, fâchant encore Trump)

Cinq jours à peine après avoir signé tout sourire avec Ursula von der Leyen (photo de droite) les conclusions d’un accord commercial sur les droits de douane entre les Etats-Unis et l’Union européenne (1), Donald Trump (photo de gauche) lançait, le 26 août, une charge virulente – avec menaces de représailles douanières – contre la législation numérique des Vingt-sept : « En tant que président des Etats-Unis, je m’opposerai aux pays qui attaquent nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et la réglementation des marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. Ils donnent aussi, outrageusement, un laissez-passer complet aux plus grandes entreprises technologiques chinoises. Cela doit cesser, et se terminer MAINTENANT ! », a lancé ce jour-là le 47e président des Etats-Unis sur son réseau social (2). Depuis cette offensive, aucune réplique n’est intervenue de la part de la Commission européenne, que cela soit de sa présidente Ursula von der Leyen ou de sa vice-présidente chargée du numérique Henna Virkkunen. Pourtant, Donald Trump visait explicitement les taxes sur les services numérique (TSN), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA).

Von der Leyen reste sans voix face à Trump
Le locataire de la Maison-Blanche a même menacé l’Europe – sans la nommer tant la cible est claire – de représailles douanières si ces réglementations – qu’il a qualifiées de « discriminatoires » – n’étaient pas abolies. Dans ce post menaçant l’Union européenne comme le reste du monde, Donald Trump a brandi son arme douanière favorite : « Avec cette VÉRITÉ [sic], j’avertis tous les pays ayant des taxes, des lois, des règles ou des réglementations numériques qu’à moins que ces actions discriminatoires ne soient supprimées, moi, en tant que président des Etats-Unis, j’imposerai des droits de douane supplémentaires substantiels sur les exportations de ce pays vers les Etats-Unis et instituerai des restrictions à l’exportation sur notre technologie et nos puces hautement protégées. L’Amérique et les entreprises technologiques américaines ne sont (suite) plus ni la “tirelire” ni le “paillasson” du monde ». Cette attaque a laissé sans voix la présidente Ursula von der Leyen (« UVDL ») qui, après la « déclaration commune » du 21 août, pensait en avoir fini avec l’instabilité et l’imprévisibilité dans les échanges et les investissements entre l’UE et les EtatsUnis. Que nenni.

Henna Virkkunen s’adresse à Jim Jordan
L’eurodéputée allemande Alexandra Geese et son homologue française Stéphanie Yon-Courtin ont été parmi ceux qui ont pointé l’absence de réponse à Donald Trump de la part de la Commission européenne. D’autant que ce dernier n’en était pas à sa première remise en cause de la législation numérique européenne. Le même jour que la déclaration commune Trump-UVDL, le président de la Federal Trade Commission (FTC), Andrew Ferguson, écrivait, lui, une lettre (3) à treize patrons de Big Tech américaines pour dire tout le mal qu’il pensait du DSA qui « incite les entreprises technologiques à censurer le discours, y compris le discours en dehors de l’Europe ». Dans cette missive à charge, celui qui fut nommé par Donald Trump en janvier 2025 se dit « préoccupé par le fait que ces actions de puissances étrangères visant à imposer la censure et à affaiblir le chiffrement de bout en bout éroderont les libertés des Américains et les exposeront à une multitude de préjudices, tels que la surveillance par des gouvernements étrangers et un risque accru d’usurpation d’identité et de fraude ».
Apple, Google, Meta, Microsoft, Amazon, X, Signal ou encore Slack ont été parmi les destinataires. « La FTC Trump-Vance ne tolérera pas un nouveau régime de surveillance et de censure conçu dans les capitales étrangères. […] La FTC Trump-Vance veillera à ce que les entreprises respectent les lois de notre pays, et non les caprices de technocrates étrangers », a insisté Andrew Ferguson dans un post sur X (4). Selon Reuters, le secrétaire d’Etat américain Marco Rubio avait lancé les hostilités en demandant par écrit le 4 août aux diplomates américains en Europe de lancer une campagne de lobbying contre le DSA (5). Les critiques de l’agence fédérale du commerce américain à l’encontre du DSA sont, elles, intervenues à la suite d’un rapport publié le 25 juillet par les républicains de la commission judiciaire, présidée par le trumpiste Jim Jordan, à la Chambre des représentants. Son titre : « La menace de la censure étrangère : comment la loi sur les services numériques de l’Union européenne impose une censure mondiale et enfreint la liberté d’expression américaine » (6). Ce rapport à charge a servi de base pour une audition qui s’est tenue le 3 septembre à Washington à la Chambre des représentants sous le thème explicite « La menace de l’Europe pour la parole et l’innovation américaines », où il a aussi été question du Digital Markets Act (DMA) qui « cible les entreprises américaines et nuisent à l’innovation » (7).
Non conviée à cette audition, contrairement à l’ancien commissaire européen Thierry Breton qui a finalement décliné l’invitation (8), Henna Virkkunen a mis les points sur les « i » en adressant le 1er septembre une lettre (9) à Jim Jordan qu’elle avait reçu à Bruxelles le 28 juillet pour un « échange franc » : « Il [le DSA] n’a aucune compétence extraterritoriale aux Etats-Unis ni dans aucun autre pays non-membre de l’UE [et il] respecte pleinement et soutient les droits fondamentaux, y compris la liberté d’expression. [Il] offre également certaines des garanties les plus complètes au monde pour la liberté d’expression en ligne : obligations de transparence étendues, droits d’information des utilisateurs, mécanismes solides de recours et de réintégration, ainsi que des garanties de procédure régulière visant à assurer que toutes les décisions de modération de contenu soient transparentes et contestables ». Le ton est diplomatique, alors que le 28 août un porte-parole de la Commission européenne, Thomas Regnier (photo ci-contre) avait été plus sévère : « Les récentes allégations de censure contre notre législation technologique sont complètement absurdes. Totalement infondé. Complètement faux. […] Précisément parce que la DSA leur donne [aux utilisateurs] les moyens de lutter contre les suppressions injustifiées », avait-il répliqué, en citant les 16 millions de décisions de suppression de contenu prises par les plateformes TikTok et Meta mais contestées par des utilisateurs de l’UE. Résultat, grâce au DSA : « 35 % de ces décisions de modération de contenu prises par TikTok et Meta étaient en effet injustifiées et le contenu a été restauré. C’est le contraire de la censure. C’est la protection de la liberté d’expression » (10).

Donald Trump, « président de l’Europe »
Pendant cette campagne anti-DSA/DMA et anti-UE, Donald Trump – installé dans le Bureau ovale – a révélé le 25 août à quelques journalistes qu’il aimait être appelé « président de l’Europe » par… des dirigeants européens ! « C’est un honneur, j’aime ces gens, ce sont des gens bien, de grands dirigeants », a déclaré le président américain, après avoir justement reçu à la Maison-Blanche le 18 août, entre autres, le Français Emmanuel Macron, l’Allemand Friedrich Merz, l’Italienne Giorgia Meloni, le Finlandais Alexander Stubb et la présidente de la Commission européenne Ursula von der Leyen. @

Charles de Laubier

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite) estimant que « le débat […] semble avoir révélé certains malentendus », ont de quoi rassurer la presse européenne : « Il est certes clair que le service de réseau social tel que Facebook, proposé par Meta, répond à la définition de “service de la société de l’information” […] Le réseau Facebook ne se limite pas à être un lieu passif de partage de contenus entre utilisateurs. A l’aide d’algorithmes sophistiqués, il propose aux utilisateurs des contenus concrets en fonction de leurs centres d’intérêt supposés, sans que ces utilisateurs n’aient effectué de recherche sur ces contenus ou que ceux-ci leurs soient proposés par d’autres utilisateurs. Facebook est donc un véritable fournisseur de contenus autonome, dont la spécificité est que les contenus ne sont ni créés ni achetés par lui : ils sont téléversés par les utilisateurs et c’est ensuite Facebook qui se charge de proposer ces contenus aux utilisateurs », développe Maciej Szpunar.
Et d’ajouter : « Une telle utilisation ne saurait, à mon avis, être attribuée aux utilisateurs, mais doit être considérée comme effectuée par le fournisseur des services de la société de l’information qu’est Meta et, par conséquent, dans la mesure où elle concerne des publications de presse, comme relevant des droits exclusifs des éditeurs ». Pour autant, l’avocat général précise que lorsque les éditeurs de presse partagent eux-mêmes leurs propres publications sur un réseau social comme Facebook, ils ne sauraient prétendre à aucune rémunération au titre des droits voisins prévus à l’article 15 de cette directive « Copyright ». « Cela découle de la nature de ces droits en tant que droits exclusifs, expliquet-il. Le titulaire d’un tel droit ayant lui-même mis à la disposition du public l’objet protégé sur un réseau social ou tout autre service de la société de l’information devrait en effet être supposé avoir donné son autorisation pour les utilisations de cet objet conformes aux conditions de fourniture du service en cause ». Même si – comme l’a fait remarquer à l’audience la Commission européenne – la procédure devant la CJUE n’était pas de savoir si l’article 15 s’appliquait aux réseaux sociaux comme Facebook, la question posée a eu le mérite de lever le doute et de confirmer la responsabilité des réseaux sociaux au regard des droits voisins de la presse.

« Compensation équitable » : décision italienne
Le litige entre Meta Platforms Ireland Limited et le régulateur Agcom portait sur la compatibilité de la législation italienne transposant la directive « Copyright ». La maison mère de Facebook, d’Instagram et de WhatsApp a introduit en 2023 un recours devant le tribunal administratif régional pour le Latium (Italie) visant à annuler une décision de l’Agcom datée du 19 janvier 2023 et ayant pour objet le « règlement portant définition des critères de référence aux fins de la détermination de la compensation équitable pour l’utilisation en ligne de publications de presse » (4), conformément à la loi italienne « Protection du droit d’auteur » (5). Cette décision fixe notamment un taux pouvant aller jusqu’à 70 %, applicable sur les recettes publicitaires des prestataires de services de la société de l’information tels que Facebook « provenant de l’utilisation en ligne des publications de presse de l’éditeur, déduction faite des recettes de l’éditeur provenant de la redirection du trafic sur son site Internet ». Cette décision italienne, contraignante, réglemente même la procédure permettant de demander à l’Agcom de déterminer le montant de la compensation équitable, voire de décider unilatéralement ce montant. Pour Meta, c’en est trop.

Recours de Meta contre l’Agcom
La firme de Menlo Park (Californie), cofondée et dirigée par Mark Zuckerberg (photo ci-dessous), fait notamment valoir que la décision de l’Agcom est contraire à l’article 15 de la directive « Copyright », « qui consacre non pas des droits de rémunération, mais des droits de nature exclusive ». En outre, Meta estime que cette réglementation italienne – avec ses obligations imposées aux plateformes numériques, ses limitations significatives de la liberté contractuelle des opérateurs économiques et des pouvoirs confiés à l’Agcom – serait également contraire à la liberté d’entreprise, garantie par la charte des droits fondamentaux de l’Union européenne (6), et, en particulier, au principe de libre concurrence. De plus, Meta souligne l’absence de proportionnalité et d’adéquation des mesures adoptées par le législateur italien. Autrement dit, l’Italie est-elle aller trop loin dans la transposition et l’interprétation de la directive « Copyright » ? La Botte a en effet opté pour une régulation sectorielle bien plus contraignante que par exemple celle de l’Hexagone, ce qui a naturellement soulevé des interrogations juridiques.
La France a adopté une approche plus souple et consensuelle que celle de l’Italie, les négociations entre éditeurs et plateformes (notamment Google) ayant été encadrées par l’Autorité de la concurrence, mais sans intervention directe dans la fixation des montants. La Péninsule, elle, a mis en place un système très structuré : une « compensation équitable » obligatoire en faveur des éditeurs, des obligations de négociation imposées aux plateformes, un rôle actif de l’Agcom dans la fixation des montants de rémunération. Plutôt que de trancher, le tribunal administratif italien a décidé de surseoir à statuer et de poser à la CJUE pas moins de trois questions préjudicielles :
1 . L’article 15 de la directive « Copyright » peut-il être interprété en ce sens qu’il s’oppose à l’introduction de dispositions nationales – telles que celles prévues par la loi italienne « Protection du droit d’auteur » et celles figurant dans la décision de l’Agcom ?
2 . L’article 15 de la directive « Copyright » s’oppose-til à des dispositions nationales, telles que celles visées dans la première question, qui imposent aux plateformes numériques une obligation de divulgation de données soumise au contrôle de l’Agcom, et dont le non-respect entraîne l’application de sanctions administratives ?
3 . Les principes de la liberté d’entreprise, de libre concurrence, et de proportionnalité, s’opposent-ils à des dispositions nationales, telles que des droits à rémunération en sus des droits exclusifs, des obligations de négocier avec les éditeurs une compensation équitable, des pouvoirs conférés à l’Agcom de surveillance, de sanction voire de fixer le montant exact de la compensation équitable ?
La demande de décision préjudicielle est parvenue à la CJUE le 21 décembre 2023. Des observations écrites ont été déposées notamment par le gouvernement français, présent parmi les participants à l’audience qui s’est tenue le 10 février 2025. Après avoir analysé dans le détail les trois questions pré-judicielles posées, l’avocat général « propose » de répondre aux première et deuxième questions que : « l’article 15 de la directive [« Copyright »] doit être interprété en ce sens qu’il ne s’oppose pas aux dispositions internes d’un Etat membre [comme le prévoit l’Italie via l’Agcom, ndlr], sous réserve que ces dispositions ne privent pas les éditeurs de la possibilité de refuser de donner une telle autorisation ni de la donner à titre gratuit, qu’elles n’imposent aux fournisseurs des services de la société de l’information aucun paiement sans lien avec une utilisation effective ou envisagée de telles publications, et qu’elles ne limitent pas de manière contraignante la liberté contractuelle des parties ». Concernant la troisième question sur la liberté d’entreprise (Charte), d’une part, et sur la libre concurrence (TFUE), d’autre part, Maciej Szpunar évacue d’emblée le second principe car « [les articles 119 et 109 du TFUE] ne sont pertinents aux fins du contrôle de la conformité des dispositions nationales en cause ».

Libre concurrence et liberté d’entreprendre
Pour la libre concurrence, il rappelle qu’elle comporte notamment l’interdiction de l’abus de position dominante sur le marché, consacrée en droit de l’Union européenne (7). « Ainsi, conclut l’avocat général, les mesures destinées à renforcer le pouvoir de négociation des éditeurs doivent être considérées non pas comme portant atteinte à la libre concurrence, mais comme la favorisant ». Par conséquent, la liberté d’entreprendre ne s’oppose pas à des limitations aux droits consacrés ni à des dispositions nationales. @

Charles de Laubier

Les Etats généraux de l’information (EGI) attendent toujours et encore leur projet de loi

Publié le par

Dix mois après la fin des Etats généraux de l’information (EGI), le texte de loi promis par la ministre de la Culture Rachida Dati – censé en reprendre les recommandations – verra-t-il le jour avant l’entrée en application, le 8 août 2025, du règlement européen sur la liberté des médias (EMFA) ?

« Bonjour Madame Rachida Dati, j’imagine que vous êtes au courant, mais votre projet de holding pour l’audiovisuel public vient d’être rejeté [le 30 juin 2025] à l’Assemblée nationale [où cette proposition de loi reviendra en deuxième lecture en septembre, après un vote bloqué au Sénat le 11 juillet dernier, ndlr]. […] Mais vous pouvez en tirer du positif : votre défaite n’est-elle pas l’occasion de vous mettre au travail à la suite des Etats généraux de l’information et de réfléchir enfin aux conditions d’indépendance des rédactions dans les médias privés ? ». C’est ainsi que l’économiste Julia Cagé et professeure à Sciences Po a interpellé la ministre de la Culture (photo), dans un post publié sur LinkedIn le 1er juillet (1).

Projet de loi « EGI » avant le 8 août ?
Il s’est écoulé dix mois depuis la fin des Etats généraux de l’information (EGI), avec la restitution publique le 12 septembre 2024 au Conseil économique, social et environnemental (Cese) de la quinzaine de recommandations faites pour renforcer le pluralisme, la transparence et l’indépendance des médias en France : transparence sur les actionnaires des médias et leur gouvernance, comités d’éthique, chartes déontologiques, administrateurs indépendants, journalistes associés à la prise de décisions, secret des sources, droits voisins, éducation aux médias, … Le gouvernement tarde à donner suite aux EGI (voulus par Emmanuel Macron), dont le rapport de 352 pages (2) reste pour l’instant lettre morte.
Fin novembre 2024, lors d’un colloque sur l’audiovisuel organisé par le cabinet NPA, Rachida Dati avait assuré qu’il y aura « évidemment » un projet de loi dans la suite des EGI : « Mon intention est de reprendre l’exhaustivité des recommandations des Etats généraux de l’information », avait promis la ministre de la Culture, après avoir évoqué les grandes lignes du (suite) futur texte législatif : « Une meilleure transparence de la part des médias, sur leurs actionnaires, la généralisation des comités d’éthique, la publication des chartes de déontologie et, pour notre jeunesse, (faire de) l’éducation aux médias et à l’information une composante essentielle de la préparation des élèves à la citoyenneté » (3). Il y avait bien eu par ailleurs une proposition de loi portée par la sénatrice (PS) Sylvie Robert (4) et déposée en juillet 2024 pour « Renforcer l’indépendance des médias et mieux protéger les journalistes ». Ce texte, qui avait au moins le mérite d’exister, a été adopté par le Sénat trois mois après, malgré l’intervention de la ministre en séance du 17 octobre : « Votre proposition de loi, madame la rapporteure [Sylvie Robert, ndlr], me semble arriver quelque peu à contretemps. Elle a été déposée avant la restitution des Etats généraux de l’information et n’en tire donc pas toutes les conséquences ; elle n’anticipe pas non plus l’entrée en vigueur prochaine du règlement européen sur la liberté des médias [EMFA, ndlr] », avait reproché Rachida Dati devant les sénateurs (5). La proposition de loi adoptée fut transmise dans la foulée à l’Assemblée nationale, où elle attend son heure au sein de la commission des affaires culturelles et de l’éducation. Concernant ce règlement européen évoqué par la ministre, appelé European Media Freedom Act (EMFA), il entrera en application à partir du 8 août 2025 (6).
« Ce règlement européen nous impose de réexaminer notre droit concernant la protection du secret des sources, comme sur d’autres sujets liés aux médias. Dès lors, nous devons nous garder de multiplier les textes sur les médias », avait encore justifié la ministre de la Culture à l’automne dernier. Mais au lieu de tenir sa promesse « EGI » dans les mois qui suivirent, Rachida Dati s’était lancée à corps perdu dans la contestée proposition de loi « Réforme de l’audiovisuel public et souveraineté audiovisuelle » – portée initialement par le sénateur centriste Laurent Lafon – pour tenter de réformer l’audiovisuel public.
Mais ce texte attendu de longue date à l’Assemblée nationale (7), avec son projet de holding « France Médias », adopté par le Sénat depuis plus de deux ans maintenant (8), a été d’emblée rejeté le 30 juin 2025 par les députés (9). Maintenant que le texte « France Médias » est renvoyé au Sénat et aux calendes grecques, Rachida Dati devrait pouvoir honorer sa promesse d’un projet de loi « EGI ».

Entre candidate (Paris) et justice (Renault)
A moins que la candidate à la mairie de Paris, dont elle est maire du 7e arrondissement depuis 2008, n’ait d’autres chats à fouetter – entre la rue de Valois et la rue de Grenelle. A moins aussi que « la prise de guerre d’Emmanuel Macron » ne soit rattrapée par les affaires, dont le procès « Renault » où elle est poursuivie en correctionnelle pour « atteinte à la probité » et « enrichissement personnel ». Pour l’ancienne Garde des Sceaux-ministre de la Justice (mai 2007-juin 2009), une condamnation judiciaire serait le comble. A moins enfin que sa déclaration de patrimoine à la Haute autorité pour la transparence de la vie publique (HATVP) ne soit déclarée sous-évaluée. @

Charles de Laubier

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @