Archives par mot-clé : Union européenne

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite) sur la base d’une approche progressive. Cette stratégie illustre le désir du législateur européen de soutenir l’innovation tout en prévenant des disruptions trop violentes pour les acteurs économiques. Elle reflète aussi une reconnaissance de la variété des applications de l’IA, certaines étant avantageuses et peu dangereuses, d’autres risquant d’avoir un impact sévère sur les droits fondamentaux. Il s’agit d’une législation structurante qui ne remplace pas le RGPD ni le droit d’auteur, mais qui s’y superpose. La loi sur l’IA se fonde sur une catégorisation des systèmes d’IA en fonction de leur degré de risque. L’IA s’appuie sur l’exploitation d’une grande quantité de données, dont un bon nombre pourrait être considéré comme des données personnelles. Le RGPD rend obligatoire la détermination d’une base légale pour chaque acte de collecte ou d’utilisation (3). Selon la situation, le traitement peut se baser sur le consentement de l’individu concerné, sur l’exécution d’un contrat, sur un devoir légal, sur la protection des intérêts essentiels, sur une tâche d’intérêt public, ou encore sur le bénéfice légitime du gestionnaire du traitement. Ce fondement peut être considéré pour la formation des modèles. Cependant, il doit toujours être précédé d’une évaluation de proportionnalité et d’un contrôle de compatibilité avec les objectifs initiaux de la collecte.
L’obtention de l’accord est primordiale, particulièrement en ce qui concerne les données sensibles telles que définies par l’article 9, ou lorsque les traitements ne sont pas suffisamment justifiés par une autre base légale. De plus, si les données sont réutilisées pour un but différent de celui qui a motivé leur collecte, le RGPD demande une vérification de la concordance de cette nouvelle finalité (4). Cette évaluation prend en considération le rapport entre l’objectif initial et l’objectif modifié, le contexte de la collecte des données, la nature de ces dernières, les implications pour les individus concernés, ainsi que la présence de sécurités comme le cryptage ou la pseudonymisation.

Le droit de s’opposer au profilage
Le RGPD donne également la possibilité aux Etats membres d’établir des règles spécifiques, en particulier pour les traitements basés sur une obligation légale ou une mission d’intérêt public, afin de définir clairement les conditions de légalité et de structurer les modalités pratiques de leur application. Et toute personne a le droit de ne pas être soumise à une décision exclusivement automatisée, y compris le profilage, si cette décision engendre des conséquences juridiques ou a un impact significatif sur elle (5). Trois exceptions sont prévues à ce principe : la décision peut être valide si elle est indispensable à l’application d’un contrat, si elle est stipulée par la législation de l’UE ou d’un Etat membre, ou si elle repose sur l’accord explicite de l’individu concerné. Quoi qu’il en soit, des assurances particulières doivent être mises en place, notamment le droit d’exiger une intervention humaine, de faire part de ses remarques et de contester la décision.

Délicate soumission à plusieurs textes
De plus, le RGPD proscrit la prise de ces décisions sur des types spécifiques de données sensibles (6), à moins que l’une des exceptions ne soit applicable et que des mesures de protection accrues soient instaurées (7). Cette mesure est particulièrement cruciale pour les systèmes d’IA à risque élevé, notamment dans les domaines du crédit, de l’embauche ou de l’assurance, où la ligne entre automatisation et intervention humaine doit être strictement observée.
Concernant cette fois la propriété intellectuelle, l’AI Act exige une plus grande transparence sur les données utilisées pour la formation, sans toutefois établir un droit de refus. Le choix de sortie cité dans certaines études découle de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » de 2019, directive dite « Copyright » (8) : elle établit une dérogation pour l’extraction de textes et de données à des fins scientifiques (9), alors qu’elle permet l’extraction à des fins commerciales, à condition que les détenteurs des droits ne s’y soient pas formellement opposés (10). On peut également mentionner la protection spécifique des bases de données prévue par la directive « Bases de données » de 1996 (11), qui proscrit l’extraction substantielle ou la réutilisation non permise de contenus.
La coordination entre ces divers systèmes d’IA est délicate. Un projet donné peut être soumis à la fois au RGPD, au droit d’auteur, au droit des bases de données et à l’AI Act en même temps. Les obligations peuvent s’accumuler sans forcément être cohérentes entre elles, ce qui contraint les acteurs à adopter une démarche globale de conformité. Cette dernière comprend la sauvegarde des données personnelles, la reconnaissance des droits de propriété intellectuelle, ainsi que les exigences techniques spécifiques au règlement sur l’IA.
Considérons un cas de figure où un générateur de contenus commerciaux utilise des profils d’utilisateurs (RGPD), des articles de presse (droit d’auteur) et des bases documentaires publiques (AI Act). Conformément au RGPD : obligation de communication, protection des droits individuels, assurances pour les transferts internationaux (12). Conformément au « Copyright » : contrôle des licences, observation des opt-out et considération des exceptions. Conformément à l’AI Act : documentation technique, gestion des données, protocoles de traitement des incidents, contrôle humain et évaluation de conformité réalisée par des entités notifiées. En cas d’infractions, l’AI Act instaure un système de sanctions particulièrement dissuasif, qui s’ajoute et parfois se superpose à celui du RGPD, selon trois niveaux de gravité :
La transgression des prohibitions strictes, telles que manipulation subliminale, exploitation de vulnérabilités, notation sociale, usage abusif de la biométrie, etc., expose les opérateurs à une amende qui pourrait s’élever jusqu’à 35 millions d’euros ou représenter 7 % du chiffre d’affaires annuel global de la société, le montant le plus élevé étant pris en compte (13).
Les infractions aux obligations imposées à divers intervenants de la chaîne (fournisseurs, mandataires, importateurs, distributeurs, déployeurs) ou aux entités notifiées, ainsi que les violations des règles de transparence (14), sont passibles d’une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. En définitive, la communication d’informations fausses, partielles ou induisant en erreur aux instances de régulation peut conduire à une sanction pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires.
La réglementation prévoit un régime allégé pour les PME et les start-up, pour lesquels le seuil applicable est le plus bas entre les montants absolus et les pourcentages mentionnés précédemment. L’AI Act précise également les paramètres d’aggravation ou de mitigation pris en compte par les autorités nationales (15). Chaque Etat membre est tenu d’établir des normes procédurales nationales, de définir l’étendue à laquelle les amendes peuvent s’appliquer aux autorités ou institutions publiques, et d’assurer aux opérateurs des voies de recours juridictionnelles effectives.
On prévoit l’émergence des premiers litiges dès 2025, en particulier concernant les pratiques prohibées par l’AI Act (16), en vigueur depuis le 2 février. Dès le 2 août 2026, les conflits pourraient englober les systèmes à haut risque, avec une prolongation jusqu’en 2027 pour certains équipements inclus dans des produits soumis à réglementation, en particulier dans les domaines financier et médical. Etant donné que la Commission européenne a abandonné sa proposition de directive sur la responsabilité civile de l’IA, le cadre repose désormais sur la directive « Responsabilité du fait des produits défectueux » de 2024, qui englobe les systèmes d’IA et doit être mise en œuvre d’ici décembre 2026.

Les entreprises doivent vite se préparer
Pour être prêtes et en conformité, les entreprises doivent mettre en place des procédures internes solides pour anticiper. Cette préparation sera facilitée par des outils utiles tels que des tableaux de comparaison RGPD/AI Act/ Copyright ou des listes de vérification pour assurer la conformité. Quant aux transferts internationaux de données UE-US, ils demeurent un enjeu majeur. Ils restent soumis au RGPD et aux exigences renforcées des arrêts « Schrems », malgré la confirmation fragile en septembre 2025 (17) du Data Privacy Framework. @

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.

Donald Trump, qui aime être appelé « président de l’Europe », s’en prend aux lois numériques de l’UE

Publié le par

A peine la présidente de la Commission européenne Ursula von der Leyen avait-elle signé le 21 août un accord commercial et douanier avec le président des Etats-Unis Donald Trump que celui-ci lançait une charge contre la législation numérique des Vingt-sept. Comme tétanisé, Bruxelles ne lui a pas répondu.

(Au moment où nous publiions le 5 septembre cet article dans EM@, la Commission européenne infligeait à Google 2,95 milliards d’euros d’amende, fâchant encore Trump)

Cinq jours à peine après avoir signé tout sourire avec Ursula von der Leyen (photo de droite) les conclusions d’un accord commercial sur les droits de douane entre les Etats-Unis et l’Union européenne (1), Donald Trump (photo de gauche) lançait, le 26 août, une charge virulente – avec menaces de représailles douanières – contre la législation numérique des Vingt-sept : « En tant que président des Etats-Unis, je m’opposerai aux pays qui attaquent nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et la réglementation des marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. Ils donnent aussi, outrageusement, un laissez-passer complet aux plus grandes entreprises technologiques chinoises. Cela doit cesser, et se terminer MAINTENANT ! », a lancé ce jour-là le 47e président des Etats-Unis sur son réseau social (2). Depuis cette offensive, aucune réplique n’est intervenue de la part de la Commission européenne, que cela soit de sa présidente Ursula von der Leyen ou de sa vice-présidente chargée du numérique Henna Virkkunen. Pourtant, Donald Trump visait explicitement les taxes sur les services numérique (TSN), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA).

Von der Leyen reste sans voix face à Trump
Le locataire de la Maison-Blanche a même menacé l’Europe – sans la nommer tant la cible est claire – de représailles douanières si ces réglementations – qu’il a qualifiées de « discriminatoires » – n’étaient pas abolies. Dans ce post menaçant l’Union européenne comme le reste du monde, Donald Trump a brandi son arme douanière favorite : « Avec cette VÉRITÉ [sic], j’avertis tous les pays ayant des taxes, des lois, des règles ou des réglementations numériques qu’à moins que ces actions discriminatoires ne soient supprimées, moi, en tant que président des Etats-Unis, j’imposerai des droits de douane supplémentaires substantiels sur les exportations de ce pays vers les Etats-Unis et instituerai des restrictions à l’exportation sur notre technologie et nos puces hautement protégées. L’Amérique et les entreprises technologiques américaines ne sont (suite) plus ni la “tirelire” ni le “paillasson” du monde ». Cette attaque a laissé sans voix la présidente Ursula von der Leyen (« UVDL ») qui, après la « déclaration commune » du 21 août, pensait en avoir fini avec l’instabilité et l’imprévisibilité dans les échanges et les investissements entre l’UE et les EtatsUnis. Que nenni.

Henna Virkkunen s’adresse à Jim Jordan
L’eurodéputée allemande Alexandra Geese et son homologue française Stéphanie Yon-Courtin ont été parmi ceux qui ont pointé l’absence de réponse à Donald Trump de la part de la Commission européenne. D’autant que ce dernier n’en était pas à sa première remise en cause de la législation numérique européenne. Le même jour que la déclaration commune Trump-UVDL, le président de la Federal Trade Commission (FTC), Andrew Ferguson, écrivait, lui, une lettre (3) à treize patrons de Big Tech américaines pour dire tout le mal qu’il pensait du DSA qui « incite les entreprises technologiques à censurer le discours, y compris le discours en dehors de l’Europe ». Dans cette missive à charge, celui qui fut nommé par Donald Trump en janvier 2025 se dit « préoccupé par le fait que ces actions de puissances étrangères visant à imposer la censure et à affaiblir le chiffrement de bout en bout éroderont les libertés des Américains et les exposeront à une multitude de préjudices, tels que la surveillance par des gouvernements étrangers et un risque accru d’usurpation d’identité et de fraude ».
Apple, Google, Meta, Microsoft, Amazon, X, Signal ou encore Slack ont été parmi les destinataires. « La FTC Trump-Vance ne tolérera pas un nouveau régime de surveillance et de censure conçu dans les capitales étrangères. […] La FTC Trump-Vance veillera à ce que les entreprises respectent les lois de notre pays, et non les caprices de technocrates étrangers », a insisté Andrew Ferguson dans un post sur X (4). Selon Reuters, le secrétaire d’Etat américain Marco Rubio avait lancé les hostilités en demandant par écrit le 4 août aux diplomates américains en Europe de lancer une campagne de lobbying contre le DSA (5). Les critiques de l’agence fédérale du commerce américain à l’encontre du DSA sont, elles, intervenues à la suite d’un rapport publié le 25 juillet par les républicains de la commission judiciaire, présidée par le trumpiste Jim Jordan, à la Chambre des représentants. Son titre : « La menace de la censure étrangère : comment la loi sur les services numériques de l’Union européenne impose une censure mondiale et enfreint la liberté d’expression américaine » (6). Ce rapport à charge a servi de base pour une audition qui s’est tenue le 3 septembre à Washington à la Chambre des représentants sous le thème explicite « La menace de l’Europe pour la parole et l’innovation américaines », où il a aussi été question du Digital Markets Act (DMA) qui « cible les entreprises américaines et nuisent à l’innovation » (7).
Non conviée à cette audition, contrairement à l’ancien commissaire européen Thierry Breton qui a finalement décliné l’invitation (8), Henna Virkkunen a mis les points sur les « i » en adressant le 1er septembre une lettre (9) à Jim Jordan qu’elle avait reçu à Bruxelles le 28 juillet pour un « échange franc » : « Il [le DSA] n’a aucune compétence extraterritoriale aux Etats-Unis ni dans aucun autre pays non-membre de l’UE [et il] respecte pleinement et soutient les droits fondamentaux, y compris la liberté d’expression. [Il] offre également certaines des garanties les plus complètes au monde pour la liberté d’expression en ligne : obligations de transparence étendues, droits d’information des utilisateurs, mécanismes solides de recours et de réintégration, ainsi que des garanties de procédure régulière visant à assurer que toutes les décisions de modération de contenu soient transparentes et contestables ». Le ton est diplomatique, alors que le 28 août un porte-parole de la Commission européenne, Thomas Regnier (photo ci-contre) avait été plus sévère : « Les récentes allégations de censure contre notre législation technologique sont complètement absurdes. Totalement infondé. Complètement faux. […] Précisément parce que la DSA leur donne [aux utilisateurs] les moyens de lutter contre les suppressions injustifiées », avait-il répliqué, en citant les 16 millions de décisions de suppression de contenu prises par les plateformes TikTok et Meta mais contestées par des utilisateurs de l’UE. Résultat, grâce au DSA : « 35 % de ces décisions de modération de contenu prises par TikTok et Meta étaient en effet injustifiées et le contenu a été restauré. C’est le contraire de la censure. C’est la protection de la liberté d’expression » (10).

Donald Trump, « président de l’Europe »
Pendant cette campagne anti-DSA/DMA et anti-UE, Donald Trump – installé dans le Bureau ovale – a révélé le 25 août à quelques journalistes qu’il aimait être appelé « président de l’Europe » par… des dirigeants européens ! « C’est un honneur, j’aime ces gens, ce sont des gens bien, de grands dirigeants », a déclaré le président américain, après avoir justement reçu à la Maison-Blanche le 18 août, entre autres, le Français Emmanuel Macron, l’Allemand Friedrich Merz, l’Italienne Giorgia Meloni, le Finlandais Alexander Stubb et la présidente de la Commission européenne Ursula von der Leyen. @

Charles de Laubier

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite) estimant que « le débat […] semble avoir révélé certains malentendus », ont de quoi rassurer la presse européenne : « Il est certes clair que le service de réseau social tel que Facebook, proposé par Meta, répond à la définition de “service de la société de l’information” […] Le réseau Facebook ne se limite pas à être un lieu passif de partage de contenus entre utilisateurs. A l’aide d’algorithmes sophistiqués, il propose aux utilisateurs des contenus concrets en fonction de leurs centres d’intérêt supposés, sans que ces utilisateurs n’aient effectué de recherche sur ces contenus ou que ceux-ci leurs soient proposés par d’autres utilisateurs. Facebook est donc un véritable fournisseur de contenus autonome, dont la spécificité est que les contenus ne sont ni créés ni achetés par lui : ils sont téléversés par les utilisateurs et c’est ensuite Facebook qui se charge de proposer ces contenus aux utilisateurs », développe Maciej Szpunar.
Et d’ajouter : « Une telle utilisation ne saurait, à mon avis, être attribuée aux utilisateurs, mais doit être considérée comme effectuée par le fournisseur des services de la société de l’information qu’est Meta et, par conséquent, dans la mesure où elle concerne des publications de presse, comme relevant des droits exclusifs des éditeurs ». Pour autant, l’avocat général précise que lorsque les éditeurs de presse partagent eux-mêmes leurs propres publications sur un réseau social comme Facebook, ils ne sauraient prétendre à aucune rémunération au titre des droits voisins prévus à l’article 15 de cette directive « Copyright ». « Cela découle de la nature de ces droits en tant que droits exclusifs, expliquet-il. Le titulaire d’un tel droit ayant lui-même mis à la disposition du public l’objet protégé sur un réseau social ou tout autre service de la société de l’information devrait en effet être supposé avoir donné son autorisation pour les utilisations de cet objet conformes aux conditions de fourniture du service en cause ». Même si – comme l’a fait remarquer à l’audience la Commission européenne – la procédure devant la CJUE n’était pas de savoir si l’article 15 s’appliquait aux réseaux sociaux comme Facebook, la question posée a eu le mérite de lever le doute et de confirmer la responsabilité des réseaux sociaux au regard des droits voisins de la presse.

« Compensation équitable » : décision italienne
Le litige entre Meta Platforms Ireland Limited et le régulateur Agcom portait sur la compatibilité de la législation italienne transposant la directive « Copyright ». La maison mère de Facebook, d’Instagram et de WhatsApp a introduit en 2023 un recours devant le tribunal administratif régional pour le Latium (Italie) visant à annuler une décision de l’Agcom datée du 19 janvier 2023 et ayant pour objet le « règlement portant définition des critères de référence aux fins de la détermination de la compensation équitable pour l’utilisation en ligne de publications de presse » (4), conformément à la loi italienne « Protection du droit d’auteur » (5). Cette décision fixe notamment un taux pouvant aller jusqu’à 70 %, applicable sur les recettes publicitaires des prestataires de services de la société de l’information tels que Facebook « provenant de l’utilisation en ligne des publications de presse de l’éditeur, déduction faite des recettes de l’éditeur provenant de la redirection du trafic sur son site Internet ». Cette décision italienne, contraignante, réglemente même la procédure permettant de demander à l’Agcom de déterminer le montant de la compensation équitable, voire de décider unilatéralement ce montant. Pour Meta, c’en est trop.

Recours de Meta contre l’Agcom
La firme de Menlo Park (Californie), cofondée et dirigée par Mark Zuckerberg (photo ci-dessous), fait notamment valoir que la décision de l’Agcom est contraire à l’article 15 de la directive « Copyright », « qui consacre non pas des droits de rémunération, mais des droits de nature exclusive ». En outre, Meta estime que cette réglementation italienne – avec ses obligations imposées aux plateformes numériques, ses limitations significatives de la liberté contractuelle des opérateurs économiques et des pouvoirs confiés à l’Agcom – serait également contraire à la liberté d’entreprise, garantie par la charte des droits fondamentaux de l’Union européenne (6), et, en particulier, au principe de libre concurrence. De plus, Meta souligne l’absence de proportionnalité et d’adéquation des mesures adoptées par le législateur italien. Autrement dit, l’Italie est-elle aller trop loin dans la transposition et l’interprétation de la directive « Copyright » ? La Botte a en effet opté pour une régulation sectorielle bien plus contraignante que par exemple celle de l’Hexagone, ce qui a naturellement soulevé des interrogations juridiques.
La France a adopté une approche plus souple et consensuelle que celle de l’Italie, les négociations entre éditeurs et plateformes (notamment Google) ayant été encadrées par l’Autorité de la concurrence, mais sans intervention directe dans la fixation des montants. La Péninsule, elle, a mis en place un système très structuré : une « compensation équitable » obligatoire en faveur des éditeurs, des obligations de négociation imposées aux plateformes, un rôle actif de l’Agcom dans la fixation des montants de rémunération. Plutôt que de trancher, le tribunal administratif italien a décidé de surseoir à statuer et de poser à la CJUE pas moins de trois questions préjudicielles :
1 . L’article 15 de la directive « Copyright » peut-il être interprété en ce sens qu’il s’oppose à l’introduction de dispositions nationales – telles que celles prévues par la loi italienne « Protection du droit d’auteur » et celles figurant dans la décision de l’Agcom ?
2 . L’article 15 de la directive « Copyright » s’oppose-til à des dispositions nationales, telles que celles visées dans la première question, qui imposent aux plateformes numériques une obligation de divulgation de données soumise au contrôle de l’Agcom, et dont le non-respect entraîne l’application de sanctions administratives ?
3 . Les principes de la liberté d’entreprise, de libre concurrence, et de proportionnalité, s’opposent-ils à des dispositions nationales, telles que des droits à rémunération en sus des droits exclusifs, des obligations de négocier avec les éditeurs une compensation équitable, des pouvoirs conférés à l’Agcom de surveillance, de sanction voire de fixer le montant exact de la compensation équitable ?
La demande de décision préjudicielle est parvenue à la CJUE le 21 décembre 2023. Des observations écrites ont été déposées notamment par le gouvernement français, présent parmi les participants à l’audience qui s’est tenue le 10 février 2025. Après avoir analysé dans le détail les trois questions pré-judicielles posées, l’avocat général « propose » de répondre aux première et deuxième questions que : « l’article 15 de la directive [« Copyright »] doit être interprété en ce sens qu’il ne s’oppose pas aux dispositions internes d’un Etat membre [comme le prévoit l’Italie via l’Agcom, ndlr], sous réserve que ces dispositions ne privent pas les éditeurs de la possibilité de refuser de donner une telle autorisation ni de la donner à titre gratuit, qu’elles n’imposent aux fournisseurs des services de la société de l’information aucun paiement sans lien avec une utilisation effective ou envisagée de telles publications, et qu’elles ne limitent pas de manière contraignante la liberté contractuelle des parties ». Concernant la troisième question sur la liberté d’entreprise (Charte), d’une part, et sur la libre concurrence (TFUE), d’autre part, Maciej Szpunar évacue d’emblée le second principe car « [les articles 119 et 109 du TFUE] ne sont pertinents aux fins du contrôle de la conformité des dispositions nationales en cause ».

Libre concurrence et liberté d’entreprendre
Pour la libre concurrence, il rappelle qu’elle comporte notamment l’interdiction de l’abus de position dominante sur le marché, consacrée en droit de l’Union européenne (7). « Ainsi, conclut l’avocat général, les mesures destinées à renforcer le pouvoir de négociation des éditeurs doivent être considérées non pas comme portant atteinte à la libre concurrence, mais comme la favorisant ». Par conséquent, la liberté d’entreprendre ne s’oppose pas à des limitations aux droits consacrés ni à des dispositions nationales. @

Charles de Laubier

Culture et médias, l’UE vise 8,5 milliards d’euros

Publié le par

En fait. Le 16 juillet, la Commission européenne a présenté son projet de budget pluriannuel 2028-2034 pour l’UE, à près de 2.000 milliards d’euros. Parmi les priorités : la création d’un programme « culture, audiovisuel et médias » appelé AgoraEU, de 8,5 milliards d’euros. Il remplacera Creative Europe/Media.

En clair. 8.582.000.000 euros. C’est le mondant de l’enveloppe financière proposée le 16 juillet par la Commission européenne sur la période 2028-2034 pour le futur programme AgoraEU. Il est destiné à « promouvoir des valeurs communes, notamment la démocratie, l’égalité et l’état de droit », et à « soutenir la diversité culturelle européenne, ses secteurs audiovisuel et créatif, la liberté des médias et la participation de la société civile ». Ce montant fait partie des près de 2.000 milliards d’euros du budget de l’Union européenne (1) – en baisse de – 4,25 % par rapport à l’actuel budget 2021-2027 – qu’a proposé le 16 juillet la Commission européenne (2), l’AgoraEU pesant seulement 0,43 % de ce total.
La proposition de règlement établissant le programme AgoraEU, abrogeant les règlements « Europe Active » de 2021 (culture, programme Media et journalisme) et « Cerv » de 2021 également (Citoyens, égalité, droits et valeurs), va être discutée, cet été au sein du Conseil de l’UE (les Etats membres). Puis les négociations avec le Parlement européen débuteront avant la fin de l’année. Le programmes AgoraEU (3) comprend trois (suite) volets que sont : Creative Europe-Culture doté de 1,796 milliard d’euros (soutien à la création artistique, à la diversité culturelle, à la mobilité des artistes et à la coopération transnationale), Media+ avec 3,194 milliards d’euros (renforcement de l’industrie audiovisuelle européenne : production, distribution, coproduction, éducation à l’image, liberté des médias), et Cerv+ crédité de 3,593 milliards d’euros (promotion des droits fondamentaux, de l’égalité, de la démocratie, de la participation citoyenne et du soutien à la société civile).
Cela représente pour chaque volet environ plus de 120 % de hausse par rapport aux actuels programmes respectifs. Le volet Media+ concerne désormais non seulement l’audiovisuel, le cinéma et le jeu vidéo, mais aussi les « Actualités » (news), à savoir, indique la proposition de règlement « AgoraEU » : « Contribuer à un écosystème d’information libre, viable et diversifié dans de l’UE, notamment en soutenant le journalisme et les médias d’information libres et indépendants, en améliorant l’accès des citoyens à une information fiable et en luttant contre la désinformation ». Les organisations professionnelles du cinéma et de l’audiovisuel (Cepi et Fiad) regrettent, eux, la « dilution » de l’actuel Europe Creative dans Media+. @