Veille Juridique n°89 – novembre 2025. 

 

Simplification of European digital rules: what can we expect?

Jusqu’où la Commission européenne ira-t-elle dans sa volonté de simplifier le cadre législatif européen ?

Depuis la publication du rapport Draghi en septembre 2024, et dans un contexte économique international chahuté, l’exécutif européen multiplie les mesures en faveur de l’industrie.

La publication récente du paquet « Digital Omnibus » entend ainsi rassurer le secteur privé quant aux contraintes légales dans le secteur du numérique, au grand dam de la société civile qui craint une érosion sans précédent des droits fondamentaux.

La Commission a officiellement publié le 19 novembre deux propositions, le « Digital Omnibus » et le « Digital Omnibus sur l’IA » et lancé un bilan de qualification numérique.

La proposition relative au numérique apporte des modifications tant au RGPD qu’au règlement sur l’IA et à la directive ePrivacy. Le texte est dense, en voici quelques grandes lignes.

• • En ce qui concerne la directive ePrivacy,

La Commission propose notamment des modifications au régime des cookies. L’objectif est de réduire le nombre d’apparitions des bannières et de permettre aux utilisateurs de donner leur consentement en un seul clic et d’enregistrer leurs préférences via les paramètres centraux des navigateurs et des systèmes d’exploitation. Cette disposition figure parmi les moins contestées.

Le texte prévoit aussi une interface de signalement unifiée permettant aux entreprises de satisfaire à toutes leurs obligations de notification des incidents via un portail sécurisé unique, dans l’objectif de simplifier les obligations concurrentes de la directive NIS2, du RGPD et du règlement sur la résilience opérationnelle numérique.

Un allègement des obligations légales est prévu pour les PMEs et les entreprises à faible et moyenne capitalisation concernant la documentation, les sanctions, et les règles de commutation cloud.

• • Au sujet du RGPD,

La proposition restreint la définition des données à caractère personnel en introduisant une approche subjective de l’identifiabilité des données, qui pourrait exclure du champ d’application du règlement certaines données pseudonymes ou numéros d’identification.

La définition des données sensibles serait modifiée pour ne concerner que celles qui révèlent « directement » des informations concernant la santé, l’origine raciale, etc., au risque d’exclure celles qui pourraient être déduites par un algorithme par exemple.

La proposition entend également restreindre le droit des individus de demander l’accès à leurs données uniquement à des « fins de protection des données ».

Une nouvelle définition de la « recherche scientifique » pourrait en outre entraîner des exemptions de grande envergure au RGPD bénéficiant au secteur privé : « toute recherche susceptible de soutenir l’innovation, telle que le développement technologique et la démonstration » pourrait ainsi être dispensée des obligations d’information et de limitation de finalité.

La proposition comprend des modifications facilitant la prise de décision sur une base automatisée, et permettant l’utilisation de données personnelles pour former et exploiter les systèmes d’IA sur la base de l’intérêt légitime.

Le texte prévoit également une période transitoire de six mois pour l’article 50(2) du règlement sur l’IA (obligations de transparence).

Le paquet omnibus numérique reste ouvert aux commentaires pendant une période de huit semaines, prolongée chaque jour jusqu’à ce que la proposition soit disponible dans toutes les langues de l’UE, actuellement jusqu’au 29 janvier 2026.

La proposition suivra ensuite les procédures législatives ordinaires de l’UE au Parlement européen et au Conseil, où elles feront certainement l’objet de vifs débats.

En ce qui concerne plus précisément le RGPD, certains pays sont ouverts à un examen des propositions de la Commission, alors que d’autres, dont la Slovénie, l’Estonie ou l’Autriche, ont déjà fait savoir qu’à leurs yeux, le RGPD ne « nécessite aucune modification supplémentaire pour le moment ».

Le processus inclura également les avis du Comité européen de la protection des données et du Contrôleur européen de la protection des données, deux positions qui, bien que non-contraignantes, devraient influencer la suite des discussions.

 

Après un premier rapport évaluant si les Français étaient prêts à payer pour des services en ligne sans publicité ciblée, la CNIL a publié le 17 novembre un deuxième volet concernant l’attitude des Français au regard de la monétisation de leurs données.

65 % des répondants se disent ainsi prêts à vendre leurs données. La valorisation la plus fréquente est entre 10 à 30 euros mensuels, privilégiée par 28 % de ces répondants.

En revanche, 35 % des individus ne souhaitent pas vendre leurs données, quel qu’en soit le prix, exprimant un rejet de principe de la monétisation des données personnelles.

La CNIL rappelle à cet égard que, s’il est possible de céder un droit d’usage sur ses données, « une pratique de « monétisation » de ses données personnelles, au sens de céder un droit de propriété sur celles-ci, n’est pas possible dans le cadre légal actuel puisqu’on ne saurait renoncer à ses droits sur ses données. »

Le 20 novembre 2025, la CNIL a sanctionné la société française Les publications Conde Nast d’une amende de 750 000 euros pour le non-respect des règles applicables en matière de cookies, déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr ».

La société avait déjà fait l’objet d‘une mise en demeure à la suite d’une plainte de l’association Noyb en 2019, sans se mettre en conformité.

L’amende tient compte du manque de réaction de la société ainsi que du nombre de personnes concernées et des différents manquements : absence de recueil du consentement, défaut d’information des utilisateurs et défaillance des mécanismes de refus et de retrait de consentement.

La CNIL a également imposé le 27 novembre 2025 une amende de 1,5 million d’euros à la société American Express carte France pour le non-respect des règles applicables en matière de cookies.

L’ANSSI a publié le 26 novembre un rapport concernant l’état de la menace pesant sur les téléphones mobiles.

Le rapport pointe l’exploitation par les attaquants de vulnérabilités pouvant cibler les réseaux, le système d’exploitation ou les applications, et identifie une menace spécifique : les opérations d’espionnage et de surveillance menées par des acteurs étatiques.

Les téléphones mobiles sont aussi une cible de choix pour les cybercriminels, qui, en les compromettant, parviennent notamment à détourner de l’argent de leurs victimes.

Les téléphones mobiles sont aussi détournés pour de la surveillance privée ou des opérations de déstabilisation.

Le rapport fournit également des recommandations de sécurité à destination des utilisateurs.

Parmi celles-ci, éteindre régulièrement puis rallumer son téléphone sans utiliser la fonctionnalité de redémarrage, ne pas cliquer sur des liens ou ouvrir des fichiers présents dans des messages non sollicités, être vigilant lors de l’ouverture de liens transmis via des QR codes, appliquer les mises à jour du système d’exploitation, désactiver les interfaces Wifi et Bluetooth lorsqu’elles ne sont pas utilisées, et éviter de se connecter aux réseaux de Wifi publics.

 

European institutions and bodies

Le 26 novembre, les représentants des États membres de l’UE se sont mis d’accord sur la position du Conseil concernant le règlement visant à prévenir et à combattre les abus sexuels commis sur des enfants.

Le texte entend imposer aux entreprises du secteur numérique l’obligation de prévenir la diffusion de contenus à caractère pédopornographique et la sollicitation d’enfants.

Les autorités nationales compétentes auront le pouvoir d’obliger les entreprises à supprimer et à bloquer l’accès à certains contenus ou, dans le cas des moteurs de recherche, à supprimer certains résultats de recherche.

Le règlement prévoit également la création d’une nouvelle agence européenne, le Centre européen sur la pédopornographie, chargée d’aider les États membres et les fournisseurs de services en ligne à mettre en œuvre la loi.

Le Conseil souhaite également rendre permanente une mesure actuellement temporaire qui permet aux entreprises de scanner volontairement leurs services à la recherche d’abus sexuels sur des enfants.

Bien que moins intrusif que sa précédente version, le texte est toujours considéré par ses détracteurs comme une attaque contre le chiffrement de bout en bout et la confidentialité des communications.

Le projet doit encore faire l’objet de discussions lors de trilogues avec la Commission et le Parlement européen.

Le 5 décembre, la Commission européenne a infligé une amende de 120 millions d’euros à X pour avoir manqué à ses obligations de transparence en vertu de la loi sur les services numériques (DSA).

Les manquements concernent notamment la conception trompeuse de sa « validation bleue » pour les comptes vérifiés, le manque de transparence de son répertoire publicitaire et le fait de ne pas avoir donné accès aux données publiques aux chercheurs.

Dans sa décision Russ media du 2 décembre, la Cour de justice de l’Union européenne (CJUE) a considéré qu’un éditeur de place de marché est responsable du traitement des annonces publiées sur sa plateforme et doit vérifier, avant publication, si celles-ci contiennent des données sensibles et si leur traitement respecte le RGPD.

1/ L’opérateur d’une place de marché est responsable de traitement des annonces publiées : plusieurs éléments justifient cette qualification pour la CJUE :

• L’annonce n’est accessible en ligne qu’en raison du service fourni par la plateforme.
• L ’éditeur poursuit une finalité propre, notamment commerciale et publicitaire, et ne se limite pas à une prestation technique.
• Il détermine des moyens essentiels : présentation, durée de mise en ligne, rubriques, classement, modalités de diffusion.
• Ainsi, l’opérateur et l’annonceur sont responsables conjoints du traitement effectué sur les annonces.

2/ En tant que responsable du traitement, l’opérateur doit identifier les risques potentiels d’un traitement de données et implémenter les mesures et garanties appropriées au risque identifié : la CJUE indique que l’opérateur doit en amont :

• Détecter si une annonce contient des données sensibles.
• Vérifier si ces données concerne l’annonceur ou si celui-ci dispose d’une dérogation, notamment un consentement explicite de la personne concernée.
• Refuser la publication si ces conditions ne sont pas réunies.

Au titre de ses obligations de sécurité, l’opérateur doit aussi mettre en place des mesures visant à limiter la copie et la reproduction illicite des annonces contenant des données sensibles.

Le 20 novembre, la CJUE s’est prononcée dans l’affaire Policejní prezidium sur les pratiques de la police tchèque consistant à collecter et à conserver indéfiniment les données biométriques et génétiques de toutes les personnes soupçonnées d’avoir commis des infractions intentionnelles.

Il s’agissait de déterminer si la directive européenne « Police » exige une évaluation au cas par cas de la nécessité de la conservation, si des périodes de conservation indéfinies sont autorisées et quelles garanties juridiques doivent régir le traitement de ces données sensibles.

La Cour ne constate pas une interdiction de principe mais impose une série de conditions : le responsable de traitement doit se conformer à tous les principes et exigences spécifiques applicables au traitement des données sensibles, et la législation nationale doit fixer des délais appropriés pour un réexamen périodique de la stricte nécessité de conserver ces données.

L’Agence européenne des droits fondamentaux a publié le 4 décembre un rapport traitant de la protection des droits fondamentaux lors de l’utilisation de l’IA dans des domaines à haut risque. Il met en évidence un manque de sensibilisation aux droits

 

News from the member countries of the European Union.

Le Tribunal régional de Vienne pour les affaires civiles a estimé qu’une action en justice contre un responsable de traitement non établi dans l’UE devait être signifiée à ce dernier et non à son représentant dans l’UE.

Une signification au représentant en vertu de l’article 27 du RGPD est insuffisante, sauf si le droit procédural national prévoit cette option.

L’APD croate a infligé le 14 novembre une amende administrative d’un montant total de 4 500 000,00 EUR à un opérateur de télécommunications, en sa qualité de responsable du traitement, pour transfert de données à caractère personnel vers un pays tiers en violation du RGPD.

Le transfert vers un sous-traitant serbe était effectué sans base légale valide et sans information transparente aux personnes concernées, le traitement de copies des cartes d’identité et des certificats de casier judiciaire des employés sans base juridique, et en l’absence de contrôles préalables appropriés du sous-traitant.

L’université internationale de Valence en Espagne a été condamnée à une amende de 750 000 € pour utilisation de la reconnaissance faciale et de l’IA pour identifier les participants à un examen sans base juridique appropriée.

En Espagne également, l’APD a infligé une amende de 30 000 € à une clinique médicale pour avoir enfreint l’article 5(1)(f) du RGPD en divulguant les numéros de téléphone et les données de santé d’environ 90 clients dans un groupe de messagerie Whatsapp sans consentement préalable et sans mesures de confidentialité adéquates.

Un tribunal a accordé plus de 480 000 000 € de dommages et intérêts à 87 médias espagnols après avoir conclu que Meta avait utilisé illégalement les données personnelles collectées sur ses réseaux sociaux pour créer des profils d’utilisateurs détaillés et proposer des publicités personnalisées plus efficaces que celles de ses concurrents, obtenant de la sorte un avantage concurrentiel déloyal.

Le tribunal a considéré que le traitement de données à caractère personnel est un facteur concurrentiel clé dans l’économie numérique et que les violations du RGPD peuvent constituer une concurrence déloyale lorsqu’elles confèrent un avantage significatif.

L’APD italienne a infligé une amende de 32 000 euros à la province de Bolzano pour avoir exploité illégalement un réseau de caméras surveillant les flux de circulation. La province ne disposait d’aucune base juridique valable pour le traitement des données à caractère personnel, en particulier le traitement des plaques d’immatriculation.

 

Au Royaume-Uni, 73 universitaires, avocats, experts en protection des données et organisations non gouvernementales ont réclamé dans une lettre à la Chambre des communes une enquête sur l’organisme britannique chargé de la protection des données (ICO), après ce qu’ils qualifient d’« effondrement des mesures coercitives » à la suite notamment du scandale de la violation des données afghanes.

Ils mettent en garde contre des « défaillances structurelles plus profondes » au-delà de cette violation de données.

Celle-ci avait constitué une fuite particulièrement grave d’informations concernant des Afghans ayant collaboré avec les forces britanniques avant que les talibans ne prennent le contrôle du pays en août 2021, mettant en danger la vie des 100 000 personnes dont les noms avaient été divulgués par le ministère de la défense.

Il est reproché à l’ICO de ne pas avoir entamé de poursuites formelles contre le ministère, malgré des manquements répétés. 

En Argentine, certains tribunaux se sont prononcés au cours des derniers mois au sujet de l’utilisation de l’IA dans les plaidoiries et mémoires des avocats.

Les affaires concernaient des avocats ayant inclus des citations de jurisprudence s’étant avérées fausses ou inexactes en raison d’hallucinations de l’IA.

Tout comme aux Etats-Unis notamment, les tribunaux argentins commencent à évaluer l’étendue de la responsabilité professionnelle des avocats : même lorsqu’ils agissent de bonne foi, le fait de présenter des mémoires qui citent une jurisprudence inexistante porte atteinte aux principes fondamentaux de la profession, notamment l’honnêteté, la loyauté, et la sincérité, prévus dans les codes de déontologie des différentes juridictions argentines.

Dans les affaires spécifiques examinées, les tribunaux ont décidé de ne pas imposer de sanctions directes aux avocats.

Néanmoins, ils ont jugé opportun d’en informer les barreaux locaux pour les sensibiliser aux risques et aux responsabilités liés à l’utilisation de l’IA et pour promouvoir un débat plus large sur l’utilisation responsable de l’IA dans la pratique juridique.

Le gouvernement australien est le dernier en date à avoir dévoilé une feuille de route en matière d’IA.

Après avoir envisagé une stratégie axée sur la sécurité, le gouvernement a finalement choisi de mettre l’accent sur l’investissement et l’économie.

Plutôt que d’établir des garde-fous obligatoires dans les environnements à haut risque, l’Australie s’appuiera « sur les solides cadres juridiques et réglementaires existants »

Le Plan national annoncé le 2 décembre vise à renforcer la réputation de l’Australie en tant que lieu d’investissement dans l’IA, et promeut des objectifs d’utilisation générale de l’IA dans le pays, et dans les services publics en particulier.

Il décrit également le rôle de l’Institut pour la sécurité de l’IA en matière de tests et partage d’informations sur les capacités, les risques et les dangers de l’IA.

En Australie également, les enfants et les adolescents âgés de moins de 16 ans n’auront plus le droit d’utiliser les réseaux sociaux à partir du 10 décembre.

Les plateformes sont tenues de mettre en place des mesures de vérification de l’âge.

En cas de non-respect, elles s’exposent à des amendes pouvant atteindre 28 millions d’euros.

Cette interdiction pourrait être suivie par d’autres : le Parlement européen a appelé le 26 novembre à fixer l’âge minimum à 16 ans dans toute l’Union européenne en ce qui concerne les réseaux sociaux, les plateformes de partage de vidéos et les assistants IA, tout en autorisant l’accès aux 13-16 ans avec le consentement parental.

Tout en exprimant leur soutien à Commission quant à une application européenne de vérification de l’âge et un portefeuille d’identité numérique européen (eID), les députés insistent sur le fait que les systèmes de vérification de l’âge doivent préserver la vie privée des mineurs.

Aux Etats-Unis, il ne reste plus que deux commissaires sur cinq à la Commission fédérale du commerce (FTC).

Une troisième démission, celle de Melissa Holyoak, a en effet été annoncée par la FTC 17 novembre 2025.

Cette démission fait suite au licenciement par le président Trump de deux commissaires démocrates, ne laissant en place que deux commissaires républicains.

La Cour suprême a été saisie, et sa décision pourrait avoir des implications plus larges sur le pouvoir du président sur les agences indépendantes.           

Les voyageurs en provenance de pays tels que la Grande-Bretagne, la France, ou la Corée du Sud, pays éligibles au programme d’exemption de visa des États-Unis, pourraient bientôt devoir se soumettre à un examen de leurs activités sur les réseaux sociaux remontant jusqu’à cinq ans, selon une proposition déposée le 9 décembre par les douanes et la protection des frontières américaines (CBP).

Le CBP prévoit également de demander aux candidats une longue liste de données personnelles incluant leurs adresses électroniques des dix dernières années, ainsi que les noms, dates de naissance, lieux de résidence et lieux de naissance de leurs parents, conjoints, frères, sœurs et enfants.

Le 13 novembre 2025, le ministère indien de l’Électronique et des Technologies de l’information a promulgué les règles de mise en œuvre de la loi de 2023 relatives à la protection des données personnelles numériques.

Selon le cabinet Nishith Desai Associates, elles précisent les exigences de transparence, de consentement et d’enregistrement, les obligations de notification en cas de violation des données, les droits des personnes concernées et les détails concernant le Conseil indien de protection des données.