Archives par mot-clé : Union européenne

Cloud & AI Development Act : le futur règlement de la Commission européenne veut changer la donne

Publié le par

Pour que l’Union européenne devienne un « continent de l’IA », dans le cadre des objectifs de son Digital Decade à l’horizon 2030, le futur règlement sur « le développement de l’informatique en nuage et de l’IA » devra éviter de renforcer la position dominante du triumvirat Amazon-Microsoft-Google.

Alors qu’un triumvirat de l’informatique en nuage est en train de se renforcer dans l’Union européenne, constitué par les trois Big Tech américaines Amazon avec Amazon Web Services (AWS), Microsoft avec Microsoft Azur et Google avec Google Cloud, la Commission européenne s’apprête à proposer d’ici la fin de l’année 2025 un projet de règlement sur « le développement de l’informatique en nuage et de l’IA ». Ce Cloud & AI Development Act sera ensuite débattu au Parlement européen début 2026. Pour une entrée en application en 2027 ?

Triopole américain renforcé dans l’UE
Le temps long réglementaire est loin d’être celui du temps ultra-rapide des technologies. Lorsque le Cloud & AI Development Act (« CAIDA ») entrera en vigueur, d’ici deux ans, la position dominante des trois Big Tech américaines Amazon, Microsoft et Google dans le cloud aura sans aucun doute encore augmentée pour atteindre une part de marché – dans les infrastructures de cloud en Europe – plus importante qu’elle ne l’est déjà actuellement. Le triumvirat tend à devenir un triopole, qui échappe à toute régulation susceptible de favoriser la concurrence dans les Vingt-sept.
Pour l’heure, Amazon, Microsoft et Google viennent d’atteindre les 70 % de parts de marché dans les infrastructures de cloud dans l’Union européenne (UE). Tandis que la part de marché de leurs concurrents d’origine européenne – SAP, Deutsche Telekom, OVHcloud, Telecom Italia, ou encore Orange – se réduit à peau de chagrin, à savoir 15 % environ de part de marché en Europe, contre près de 30 % en 2017, d’après Synergy Research Group (voir graphique ci-dessous). « Pendant que les fournisseurs de cloud américains continuent d’investir des dizaines de milliards d’euros chaque trimestre dans des programmes d’investissement européens, cela représente une pente impossible à gravir pour toutes les entreprises qui souhaitent sérieusement contester leur leadership sur le marché », estime John Dinsdale (photo), analyste en chef de ce cabinet d’étude américain basé à Reno, dans le Nevada, aux Etats-Unis. Et cet ancien analyste en chef de chez Gartner d’ajouter : (suite)

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite)

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite)

Donald Trump, qui aime être appelé « président de l’Europe », s’en prend aux lois numériques de l’UE

Publié le par

A peine la présidente de la Commission européenne Ursula von der Leyen avait-elle signé le 21 août un accord commercial et douanier avec le président des Etats-Unis Donald Trump que celui-ci lançait une charge contre la législation numérique des Vingt-sept. Comme tétanisé, Bruxelles ne lui a pas répondu.

(Au moment où nous publiions le 5 septembre cet article dans EM@, la Commission européenne infligeait à Google 2,95 milliards d’euros d’amende, fâchant encore Trump)

Cinq jours à peine après avoir signé tout sourire avec Ursula von der Leyen (photo de droite) les conclusions d’un accord commercial sur les droits de douane entre les Etats-Unis et l’Union européenne (1), Donald Trump (photo de gauche) lançait, le 26 août, une charge virulente – avec menaces de représailles douanières – contre la législation numérique des Vingt-sept : « En tant que président des Etats-Unis, je m’opposerai aux pays qui attaquent nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et la réglementation des marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. Ils donnent aussi, outrageusement, un laissez-passer complet aux plus grandes entreprises technologiques chinoises. Cela doit cesser, et se terminer MAINTENANT ! », a lancé ce jour-là le 47e président des Etats-Unis sur son réseau social (2). Depuis cette offensive, aucune réplique n’est intervenue de la part de la Commission européenne, que cela soit de sa présidente Ursula von der Leyen ou de sa vice-présidente chargée du numérique Henna Virkkunen. Pourtant, Donald Trump visait explicitement les taxes sur les services numérique (TSN), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA).

Von der Leyen reste sans voix face à Trump
Le locataire de la Maison-Blanche a même menacé l’Europe – sans la nommer tant la cible est claire – de représailles douanières si ces réglementations – qu’il a qualifiées de « discriminatoires » – n’étaient pas abolies. Dans ce post menaçant l’Union européenne comme le reste du monde, Donald Trump a brandi son arme douanière favorite : « Avec cette VÉRITÉ [sic], j’avertis tous les pays ayant des taxes, des lois, des règles ou des réglementations numériques qu’à moins que ces actions discriminatoires ne soient supprimées, moi, en tant que président des Etats-Unis, j’imposerai des droits de douane supplémentaires substantiels sur les exportations de ce pays vers les Etats-Unis et instituerai des restrictions à l’exportation sur notre technologie et nos puces hautement protégées. L’Amérique et les entreprises technologiques américaines ne sont (suite)

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite)