Archives par mot-clé : RGPD

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

« Pay or Consent » : le chantage publicitaire se le dispute à la marchandisation de la vie privée

Publié le par

Alors que le Conseil européen de la protection des données (CEPD) publiera en 2026 ses lignes directrices sur le modèle du « Pay or Consent » (ou « Pay or Okay »), auxquelles Meta a dit vouloir se conformer, Edition Multimédi@ fait le point sur ce qui pourrait être assimilé à du chantage publicitaire.

Le Conseil européen de la protection des données (CEPD) a finalisé l’analyse de sa consultation publique menée il y a un an (en novembre 2024), à la suite de son avis rendu (en avril 2024) sur le modèle de « Pay or Consent ». Basé à Bruxelles et présidé par Anu Talus (photo), le CEPD s’apprête à publier ses lignes directrices pour contrecarrer cette méthode controversée. Ce « contrôleur » européen des données, créé par le règlement général sur la protection des données (RGPD), va aussi tenir compte des résultats d’une autre consultation publique, terminée celle-là le 4 décembre 2025, sur « les lignes directrices conjointes concernant l’interaction entre la Digital Markets Act (DMA) et le RGPD » (1). Ces lignes directrices seront publiées en 2026.

Payer, consentir ou publicité sans suivi
Ce n’est pas deux options (payer ou consentir) qui doivent être proposées aux utilisateurs par les plateformes numériques, mais trois options (payer, consentir, ou publicité mais sans suivi). Dans son avis du 17 avril 2024, le CEPD – EDPB en anglais (2) – avait estimé que les responsables du traitement ne doivent pas proposer uniquement une option alternative payante au service qui inclut le traitement à des fins de publicité comportementale : « Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’”option équivalente”, ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel ».
Autrement dit, cette troisième option ne devrait donc pas comprendre de traitement à des fins de publicité comportementale et peut, par exemple, être une version du service assortie d’une autre forme de publicité impliquant le traitement d’un nombre réduit – voire « nul » – de données à caractère personnel, à savoir (suite) de la publicité contextuelle ou générale ou de la publicité fondée sur des thèmes que la personne concernée a sélectionnés dans une liste de sujets d’intérêt. Cet avis (3) du contrôleur européen des données n’avait pas été du goût du groupe américain Meta Platforms, lequel avait mis en place depuis novembre 2023 sur Facebook et Instagram un modèle publicitaire plutôt binaire appelé « Consent or Pay ». Les utilisateurs européens de ces médias sociaux devaient choisir entre : accepter l’utilisation combinée de leurs données personnelles pour de la publicité personnalisée, ou payer un abonnement mensuel pour ne pas avoir de publicités. La filiale irlandaise – siège européen de la firme de Mark Zuckerberg – n’avait pas tardé à déposer, le 27 juin 2024, un recours en annulation de cet avis du CEPD auprès du Tribunal de l’Union européenne (basé au Luxembourg).
Meta demandait ni plus ni moins que, d’une part, l’annulation de l’avis du CEPD et, d’autre part, la réparation du préjudice qu’elle aurait subi du fait de cet avis. Le 29 avril 2025, le tribunal européen a rendu son verdict : « Le recours est rejeté pour partie comme étant irrecevable et pour partie comme étant manifestement dépourvu de tout fondement en droit » (4). Dans le même temps, le 23 avril 2025, la Commission européenne a mis à l’amende Meta – à hauteur de 500 millions d’euros pour tenir compte de « la gravité et la durée de la non-conformité » – pour avoir maintenu son modèle pourtant jugé non conforme avec le règlement sur les marchés numériques, le Digital Markets Act (DMA), dont les obligations sont devenues juridiquement contraignantes en mars 2024. « Ce modèle n’est pas conforme au DMA, a expliqué la Commission européenne, car il ne donnait pas aux utilisateurs le choix spécifique nécessaire pour opter pour un service utilisant moins de leurs données personnelles mais qui est par ailleurs équivalent au service de “publicités personnalisées”. Le modèle de Meta n’autorisait pas non plus les utilisateurs à exercer leur droit de consentement libre à la combinaison de leurs données personnelles » (5).

Meta abandonne son « Consent or Pay »
Et ce, malgré une nouvelle version de son « Consent or Pay » que le groupe Meta avait introduite en novembre 2024 et que la Commission européenne a examinée et évaluée avec lui tout au long de l’année 2025. Ce « dialogue étroit » entre Bruxelles et Meta a, semble-t-il payé, si l’on en croit le communiqué publié le 8 décembre 2025 par la DG Connect – alias DG Cnect (6) – de la Commission européenne : « Meta s’engage à donner aux utilisateurs de l’UE le choix pour les publicités personnalisées dans le cadre du DMA ». Meta présentera en janvier 2026 ces nouvelles options aux actuels 250 millions d’utilisateurs actifs mensuels de Facebook dans l’UE et aux aussi nombreux d’Instagram : les Européens auront alors le choix effectif entre « accepter de partager toutes leurs données et voir une publicité entièrement personnalisée, et choisir de partager moins de données personnelles pour une expérience avec une publicité personnalisée plus limitée », explique la Commission européenne (7), qui n’évoque pas ici la troisième option, payante celle-là (abonnement payant), pour supprimer la publicité personnalisée – la publicité ne disparaissant cependant jamais complètement…

3e option « pas de suivi » plébiscitée
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») dénonce le chantage publicitaire du « Pay or Okay » car il pousse « 99,9 % des utilisateurs à donner leur consentement même s’ils ne le souhaitent pas ». Ce « centre européen pour les droits numériques », dirigé par Max Schrems (photo ci-contre), a publié le 4 décembre 2025 une étude qu’il a commanditée sur ce que préfèreraient les Européens en cas des trois options suggérées par le CEPD. Il en ressort que « lorsqu’il existe une option “payer”, une option “consentement” et une option “publicité, mais pas de suivi”, la plupart des utilisateurs optent pour cette dernière : 7 personnes sur 10 choisissent alors l’option “publicité, mais pas de suivi” ». Cela démontre que la troisième option est étayée par des preuves objectives : les utilisateurs acceptent le financement des sites web par la publicité, mais pas leur suivi en ligne. L’étude de Noyb, réalisée par Brigitte Naderer (8), montre également que les utilisateurs ne se comportent pas différemment selon qu’ils se trouvent sur de grands réseaux sociaux, des sites de presse en ligne ou d’autres sites web (voir graphique ci-dessous). Si les fournisseurs en ligne peuvent bien sûr demander une rémunération en échange de l’accès à un contenu ou à un service qu’ils proposent, les systèmes de « Pay or Okay » cherchent, eux, à faire payer aux utilisateurs leurs droits à la protection des données sans leur fournir de contrepartie. « Malheureusement, même la Cnil confond cela, en faisant référence à une enquête [Harris, ndlr (9)] dans le but de soutenir “Pay or Okay” », regrette Noyb. @

Charles de Laubier

Roberto Viola, le discret directeur – depuis 10 ans – de la puissante DG Connect à la Commission européenne

Publié le par

Il a fêté ses 10 ans à la tête de la DG Connect, la puissante « direction générale des réseaux de communication, du contenu et de la technologie », à Bruxelles, et l’une des mieux dotées. Roberto Viola est pourtant méconnu, alors que la stratégie digitale de l’Europe et sa souveraineté numérique, c’est lui.

Roberto Viola (photo), le directeur général de la DG Connect – l’entité de la Commission européenne chargée de mettre en œuvre toute la stratégie numérique des Vingt-sept – est un homme discret. Cet Italien, qui a fêté le 1er septembre 2025 ses 10 ans à la tête de cette « direction générale des réseaux de communication, du contenu et de la technologie » (DG Cnect, son nom officiel), fait peu d’apparitions médiatiques et n’accorde que de rares interviews. Ses interventions grand public sont presqu’inexistantes, tant il réserve ses quelques apparitions à certaines conférences ou rencontres spécialisées (régulation numérique, innovations, cybersécurité, intelligence artificielle, …).
Ce qui en fait l’un des plus méconnus hauts fonctionnaires de Bruxelles, alors qu’il en est l’un des plus puissants. Roberto Viola est en fait l’homme-orchestre du « marché unique numérique », en étant à la tête de la DG Connect dotée d’un budget annuel de près de 2 milliards d’euros. Bien qu’il ait atteint depuis le 27 septembre 2024 l’âge de départ à la retraite (65 ans), la Commission européenne confirme à Edition Multimédi@ qu’elle a prolongé son mandat jusqu’en septembre 2026 (1). Roberto Viola semble irremplaçable à Bruxelles, tant son pouvoir et sa maîtrise des dossiers « tech » et « médias » sont vastes et cruciaux pour l’Union européenne.

DG Connect, bras digital et IA de Bruxelles
Roberto Viola – 66 ans depuis fin septembre (2) – est celui qui supervise la bonne application des multiples règlements européens d’envergure, tels que l’AI Act, le Digital Services Act (DSA), le Digital Markets Act (DMA) ou le RGPD pour la protection des données – le tout dans le cadre des objectifs ambitieux du programme « Digital Decade 2030 » (3) touchant tous les Européens. Et ce, alors que cette régulation numérique unique au monde est sous le feu des critiques de l’administration Trump (4). Les projets ne manquent pas non plus pour la DG Connect, comme le futur « Cloud & AI Development Act » (5), Bruxelles ayant d’ailleurs lancé le 18 novembre deux enquêtes sur les cloud d’Amazon Web Services et de Microsoft Azure (6), ou comme le futur Digital Networks Act (DNA) qui pourrait exiger des Gafam une « contribution équitable » aux financements des réseaux très haut débit des opérateurs télécoms (7). Les contenus n’échappent pas, eux aussi, aux domaines d’intervention de Roberto Viola, avec la révision de la directive « Services de médias audiovisuels » (SMA) attendue pour 2026 (8), et sans parler de l’entrée en application du règlement sur la liberté des médias (EMFA) qu’il suit de près également (9). La DG Connect tire les ficelles de tous ces textes numériques, en commençant par l’organisation en amont de (suite) consultations publiques dont les contributions font le miel de la Commission européenne pour ses propositions législatives. Son travail est digne de Sisyphe, Roberto Viola s’assurant de la bonne transposition de tous ces textes par les Vingt-sept.

Roberto Viola, l’homme fort de Virkkunen
Le projet de paquet législatif dit « Digital Omnibus », que la Commission européenne a présenté le 19 novembre 2025, a fortement sollicité la DG Connect : il s’agit d’une proposition de révision de plusieurs textes en vigueur, ou en cours de mise en œuvre, pour rendre le tout plus « favorable à l’innovation » et en faveur de la « souveraineté des données » de l’Europe (10). Bruxelles souhaiterait voir ce train de mesures rectificatives rapidement adopté par le Parlement européen, afin de « simplifier les règles en matière de données, de cybersécurité et d’intelligence artificielle » (11). Avant même d’avoir été dévoilé par la commissaire européenne Henna Virkkunen (photo ci-contre), vice-présidente exécutive chargée de la souveraineté, sécurité et démocratie technologiques, ce Digital Omnibus a fait l’objet de critiques.
Les défenseurs des droits numériques fondamentaux et de la protection des données soupçonnent Bruxelles d’avoir cédé aux sirènes du lobbying des entreprises et des start-up, en envisageant de reculer sur plusieurs fronts. En particulier sur l’IA Act (12), dont l’application pour les systèmes d’IA à haut risque serait repoussée à décembre 2027 : l’objectif de la Commission européenne est de favoriser l’accès aux données de Européens – notamment personnelles, malgré le règlement RGPD et la directive « ePrivacy » protégeant la vie privée – et de permettre ainsi aux entreprises de l’IA d’entraîner leurs modèles, au nom de l’innovation. « Les services de la DG Connect, sous la direction de la vice-présidente exécutive Henna Virkkunen, travaillent sur une réforme massive du RGPD sous le titre d’une prétendue “simplification” ou de “clarifications”. Le projet Omnibus numérique propose d’innombrables changements à de nombreux articles différents du RGPD. Cela équivaut à une “mort par 1.000 coupures” », a dénoncé les 10 et 19 novembre l’organisation autrichienne Noyb (13). Tandis que 127 organisations de la société civile et syndicats ont, le 13 novembre, exhorté la Commission européenne à suspendre son projet d’Omnibus numérique (14). La DG Connect devra défendre cette révision controversée. Roberto Viola, l’homme fort de Bruxelles pour les technologies, le numérique, les contenus et les services de médias audiovisuels, s’est en tout cas rendu indispensable depuis qu’il a été recruté par la Commission européenne en 2012 comme directeur général adjoint de la DG Cnect (alias DG Connect) créée cette année-là (15). Il venait de terminer son mandat de secrétaire général de l’Agcom (2005-2012), le régulateur italien des télécoms et des médias, où il a résisté aux pressions de l’empire Berlusconi que dirigeait alors le magnat italien. Auparavant, Roberto Viola avait passé près de quinze ans (1985-1999) à l’Agence spatiale européenne (ESA), où il a été embauché à 25 ans près de Rome, une fois en poche son diplôme d’ingénieur en électronique (de l’Université La Sapienza). Celui qui fut lauréat du concours national « Premio Marconi Italiana », pour le meilleur mémoire de fin d’études en télécoms, a été à l’origine de brevets – déposés par l’ESA détentrice des droits, mais pas lui – qui ont donné naissance à la 3G et à la radiocommunication par satellite.
Une fois à la DG Connect, qui comptait à son arrivée plus de 1.000 employés, il a dû bien plus déléguer qu’il ne le faisait jusqu’alors. Recruté par la Commission « José Manuel Barroso » comme adjoint, il est promu au bout de seulement trois ans directeur général par la Commission « Jean-Claude Juncker », les effectifs de la DG Connect passant sous la barre du millier d’employés, pour se situer aujourd’hui à 852 personnes sur les 32.860 que compte la Commission « Ursula von der Leyen » au 1er janvier 2025. Par rapport aux 789 employés de 2023, la DG Cnect a dû recruter pour faire face à l’ajout de missions – notamment dans les unités liées à l’intelligence artificielle comme l’AI Office (140 personnes), à la mise en œuvre des grands règlements numériques (DSA, DMA, Data Act, AI Act), et à la cybersécurité (NIS2). Sans parler de la 6G qui se profile à l’horizon 2030 (16).

Budget annuel : 1,8 milliard d’euros, en hausse
De plus en plus sollicitée, la DG Connect – toujours chapeautée par Henna Virkkunen – s’est réorganisée l’été dernier autour de Roberto Viola et ses trois adjoints : Thomas Skordas, Renate Nikolay et Despina Spanou (17). En dix ans, son budget annuel est passé de 1,2 milliard à plus de 1,8 milliard d’euros (18). Les journées de Roberto Viola sont longues, lui dont on dit qu’il dort moins de cinq heures par nuit – après avoir joué de son piano… électronique. Omniprésent au sein de la DG Connect, il n’hésite pas à aller au-devant des eurodéputés au Parlement européen, comme ce fut le cas lors des négociations ayant abouties à la fin des frais d’itinérance mobile (2017) et au règlement « Internet ouvert » (2015) – deux éléments-clés du dernier « paquet télécoms ». Ayant fait ses armes de « diplomate » à l’Agcom, il s’en sert plus que jamais pour se maintenir avec discrétion à ce poste pourtant très exposé. Contacté par Edition Multimédi@, Roberto Viola ne nous a pas répondu. @

Charles de Laubier

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite) sur la base d’une approche progressive. Cette stratégie illustre le désir du législateur européen de soutenir l’innovation tout en prévenant des disruptions trop violentes pour les acteurs économiques. Elle reflète aussi une reconnaissance de la variété des applications de l’IA, certaines étant avantageuses et peu dangereuses, d’autres risquant d’avoir un impact sévère sur les droits fondamentaux. Il s’agit d’une législation structurante qui ne remplace pas le RGPD ni le droit d’auteur, mais qui s’y superpose. La loi sur l’IA se fonde sur une catégorisation des systèmes d’IA en fonction de leur degré de risque. L’IA s’appuie sur l’exploitation d’une grande quantité de données, dont un bon nombre pourrait être considéré comme des données personnelles. Le RGPD rend obligatoire la détermination d’une base légale pour chaque acte de collecte ou d’utilisation (3). Selon la situation, le traitement peut se baser sur le consentement de l’individu concerné, sur l’exécution d’un contrat, sur un devoir légal, sur la protection des intérêts essentiels, sur une tâche d’intérêt public, ou encore sur le bénéfice légitime du gestionnaire du traitement. Ce fondement peut être considéré pour la formation des modèles. Cependant, il doit toujours être précédé d’une évaluation de proportionnalité et d’un contrôle de compatibilité avec les objectifs initiaux de la collecte.
L’obtention de l’accord est primordiale, particulièrement en ce qui concerne les données sensibles telles que définies par l’article 9, ou lorsque les traitements ne sont pas suffisamment justifiés par une autre base légale. De plus, si les données sont réutilisées pour un but différent de celui qui a motivé leur collecte, le RGPD demande une vérification de la concordance de cette nouvelle finalité (4). Cette évaluation prend en considération le rapport entre l’objectif initial et l’objectif modifié, le contexte de la collecte des données, la nature de ces dernières, les implications pour les individus concernés, ainsi que la présence de sécurités comme le cryptage ou la pseudonymisation.

Le droit de s’opposer au profilage
Le RGPD donne également la possibilité aux Etats membres d’établir des règles spécifiques, en particulier pour les traitements basés sur une obligation légale ou une mission d’intérêt public, afin de définir clairement les conditions de légalité et de structurer les modalités pratiques de leur application. Et toute personne a le droit de ne pas être soumise à une décision exclusivement automatisée, y compris le profilage, si cette décision engendre des conséquences juridiques ou a un impact significatif sur elle (5). Trois exceptions sont prévues à ce principe : la décision peut être valide si elle est indispensable à l’application d’un contrat, si elle est stipulée par la législation de l’UE ou d’un Etat membre, ou si elle repose sur l’accord explicite de l’individu concerné. Quoi qu’il en soit, des assurances particulières doivent être mises en place, notamment le droit d’exiger une intervention humaine, de faire part de ses remarques et de contester la décision.

Délicate soumission à plusieurs textes
De plus, le RGPD proscrit la prise de ces décisions sur des types spécifiques de données sensibles (6), à moins que l’une des exceptions ne soit applicable et que des mesures de protection accrues soient instaurées (7). Cette mesure est particulièrement cruciale pour les systèmes d’IA à risque élevé, notamment dans les domaines du crédit, de l’embauche ou de l’assurance, où la ligne entre automatisation et intervention humaine doit être strictement observée.
Concernant cette fois la propriété intellectuelle, l’AI Act exige une plus grande transparence sur les données utilisées pour la formation, sans toutefois établir un droit de refus. Le choix de sortie cité dans certaines études découle de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » de 2019, directive dite « Copyright » (8) : elle établit une dérogation pour l’extraction de textes et de données à des fins scientifiques (9), alors qu’elle permet l’extraction à des fins commerciales, à condition que les détenteurs des droits ne s’y soient pas formellement opposés (10). On peut également mentionner la protection spécifique des bases de données prévue par la directive « Bases de données » de 1996 (11), qui proscrit l’extraction substantielle ou la réutilisation non permise de contenus.
La coordination entre ces divers systèmes d’IA est délicate. Un projet donné peut être soumis à la fois au RGPD, au droit d’auteur, au droit des bases de données et à l’AI Act en même temps. Les obligations peuvent s’accumuler sans forcément être cohérentes entre elles, ce qui contraint les acteurs à adopter une démarche globale de conformité. Cette dernière comprend la sauvegarde des données personnelles, la reconnaissance des droits de propriété intellectuelle, ainsi que les exigences techniques spécifiques au règlement sur l’IA.
Considérons un cas de figure où un générateur de contenus commerciaux utilise des profils d’utilisateurs (RGPD), des articles de presse (droit d’auteur) et des bases documentaires publiques (AI Act). Conformément au RGPD : obligation de communication, protection des droits individuels, assurances pour les transferts internationaux (12). Conformément au « Copyright » : contrôle des licences, observation des opt-out et considération des exceptions. Conformément à l’AI Act : documentation technique, gestion des données, protocoles de traitement des incidents, contrôle humain et évaluation de conformité réalisée par des entités notifiées. En cas d’infractions, l’AI Act instaure un système de sanctions particulièrement dissuasif, qui s’ajoute et parfois se superpose à celui du RGPD, selon trois niveaux de gravité :
La transgression des prohibitions strictes, telles que manipulation subliminale, exploitation de vulnérabilités, notation sociale, usage abusif de la biométrie, etc., expose les opérateurs à une amende qui pourrait s’élever jusqu’à 35 millions d’euros ou représenter 7 % du chiffre d’affaires annuel global de la société, le montant le plus élevé étant pris en compte (13).
Les infractions aux obligations imposées à divers intervenants de la chaîne (fournisseurs, mandataires, importateurs, distributeurs, déployeurs) ou aux entités notifiées, ainsi que les violations des règles de transparence (14), sont passibles d’une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. En définitive, la communication d’informations fausses, partielles ou induisant en erreur aux instances de régulation peut conduire à une sanction pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires.
La réglementation prévoit un régime allégé pour les PME et les start-up, pour lesquels le seuil applicable est le plus bas entre les montants absolus et les pourcentages mentionnés précédemment. L’AI Act précise également les paramètres d’aggravation ou de mitigation pris en compte par les autorités nationales (15). Chaque Etat membre est tenu d’établir des normes procédurales nationales, de définir l’étendue à laquelle les amendes peuvent s’appliquer aux autorités ou institutions publiques, et d’assurer aux opérateurs des voies de recours juridictionnelles effectives.
On prévoit l’émergence des premiers litiges dès 2025, en particulier concernant les pratiques prohibées par l’AI Act (16), en vigueur depuis le 2 février. Dès le 2 août 2026, les conflits pourraient englober les systèmes à haut risque, avec une prolongation jusqu’en 2027 pour certains équipements inclus dans des produits soumis à réglementation, en particulier dans les domaines financier et médical. Etant donné que la Commission européenne a abandonné sa proposition de directive sur la responsabilité civile de l’IA, le cadre repose désormais sur la directive « Responsabilité du fait des produits défectueux » de 2024, qui englobe les systèmes d’IA et doit être mise en œuvre d’ici décembre 2026.

Les entreprises doivent vite se préparer
Pour être prêtes et en conformité, les entreprises doivent mettre en place des procédures internes solides pour anticiper. Cette préparation sera facilitée par des outils utiles tels que des tableaux de comparaison RGPD/AI Act/ Copyright ou des listes de vérification pour assurer la conformité. Quant aux transferts internationaux de données UE-US, ils demeurent un enjeu majeur. Ils restent soumis au RGPD et aux exigences renforcées des arrêts « Schrems », malgré la confirmation fragile en septembre 2025 (17) du Data Privacy Framework. @

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.