Veille Juridique n°82 – avril 2025. 

Protezione dei dati e semplificazione degli standard: cosa dobbiamo aspettarci?

La question de la simplification des normes, sujet de discussion récurrent en Europe, prend une ampleur particulière depuis le changement de direction à la Maison blanche.

Lors du sommet sur l’intelligence artificielle (IA) de Paris en février dernier, la compétitivité est ainsi devenue une priorité affichée face à la dérégulation aux Etats-Unis.

Le programme de travail de la Commission européenne pour 2025 affiche également l’objectif explicite de favoriser la croissance économique en soutenant l’innovation.

Quel sera l’impact de cette politique sur les normes européennes en matière de protection des données ?

En matière d’IA tout d’abord, l’Europe s’est engagée à atteindre les principaux objectifs du règlement tout en examinant la charge administrative à l’égard des entreprises.

La Commission demandera l’avis de l’industrie lorsque l’incertitude réglementaire entrave le développement de l’IA, et l’intégrera dans un effort plus large visant à réviser et éventuellement supprimer un ensemble de règles numériques à la fin de l’année.

La directive sur la responsabilité en matière d’IA, qui visait à actualiser les règles de l’UE en matière de sécurité des produits pour couvrir l’IA et l’automatisation, a déjà été retirée.

La CCIA, principal groupe de pression américain des grandes entreprises technologiques à Bruxelles, a accueilli favorablement cette approche tout en appelant à « attaquer de front » la réglementation.

La Commission européenne a également informé fin avril les États membres de son projet de lignes directrices concernant la relation entre le règlement sur l’IA et d’autres règlementations dont le RGPD.

Elle travaille à l’élaboration d’un modèle pour les évaluations d’impact sur les droits fondamentaux (EIDF) prévues par le règlement sur l’IA, afin d’éviter un double emploi avec l’évaluation d’impact sur la protection des données du RGPD.

De leur côté, les États membres soulignent la nécessité d’une coopération renforcée autre autorités afin d’éviter que les deux lois phares ne conduisent à des décisions contradictoires ou à des enquêtes qui se chevauchent.

Le Comité européen de la protection des données (EDPB) prépare également des lignes directrices concernant l’interaction entre le RGPD et le règlement sur l’IA, et examine avec la Commission les possibilités de synergies afin de garantir cohérence d’interprétation, sécurité juridique et clarté pour les opérateurs.

Qu’en est-il justement du RGPD ? La Commission a publié en juillet dernier un rapport d’évaluation sur le sujet, d’où ressort notamment une frustration importante des PME à plusieurs égards :

• Exigences trop lourdes en matière de documentation,
• Coût de l’embauche ou de désignation d’un DPO,
• Difficultés quant au choix des bases légales (intérêt légitime / consentement),
• Contraintes pour les technologies émergentes et les startups.

Cette critique fait écho à l’opinion de l’ancien premier ministre italien Mario Draghi, dont le rapport économique de septembre dernier pointe les lois complexes de l’Europe qui empêcheraient son économie de rattraper les États-Unis et la Chine, et mentionne spécifiquement le règlement sur l’IA et le RGPD.

La Commission compte proposer un « paquet de simplification » pour les petites et moyennes entreprises fin mai, la date étant présentée comme indicative : la proposition de simplifier les règles sur la vie privée serait en tout cas livrée d’ici le mois de juin.

Les ajustements pourraient inclure la limitation des exigences relatives à la tenue de registres des activités de traitement des données, ou la réforme des analyses d’impact sur la protection des données – deux règles considérées comme particulièrement lourdes pour les PME.

Rappelons par ailleurs que le parlementaire Axel Voss et le président de l’ONG Noyb, Max Schrems – deux personnalités dont les points de vue sur le sujet sont historiquement opposés – ont uni leurs forces pour proposer en mars dernier une révision importante du RGPD, visant à

• Simplifier la conformité pour les PME et les organisations à but non lucratif,
• Établir des règles plus claires et plus faciles à gérer pour les grandes organisations,
• Renforcer les capacités de contrôle pour garantir une protection plus efficace des données.

Si cette proposition reflète une évolution vers des solutions pragmatiques qui concilient la protection de la vie privée avec les réalités des entreprises, d’autres relèvent les risques d’une réouverture du texte qui pourrait s’effondrer sous la pression du lobbying, comme le souligne l’association de défense des droits numériques EDRi.

Rappelons que les négociations concernant l’élaboration du RGPD ont déclenché l’un des plus grands efforts de lobbying que Bruxelles n’ait jamais connu.

Les entreprises technologiques ont dépensé des millions pour tenter d’influencer les règles au cours du processus de rédaction et la proposition avait fait l’objet de plus de 3 000 amendements au Parlement européen, un record.

Les travaux actuels sur le règlement de procédure du RGPD, qui vise à renforcer la coopération entre les autorités de protection des données (APD) et à accélérer la prise de décision dans les affaires transfrontalières, pourraient bien confirmer que l’enfer est pavé de bonnes intentions.

Alors que les discussions (trilogue) entre la Commission, le Parlement européen et le Conseil se poursuivent, certains mettent en garde contre le risque de produire un compromis qui non seulement n’apporterait pas les réformes nécessaires, mais pourrait également introduire de nouvelles vulnérabilités.

Le 17 avril, l’ONG Noyb a déclaré que le Trilogue a conduit à un désordre législatif qui rendra probablement les procédures plus complexes, plus lentes et sujettes à contestation juridique.

 

    

La CNIL a publié le 29 avril son rapport annuel pour 2024.

Parmi les thèmes marquants figurent la cybersécurité, qui devient une priorité stratégique pour les années à venir avec une hausse notable des violations de données (+20 %), et le renforcement des actions répressives.

Le rapport insiste également sur l’importance du respect des droits des mineurs, le contrôle des pratiques de prospection commerciale et la régulation de la vidéosurveillance.

En parallèle, la CNIL renforce sa coopération européenne pour mieux encadrer les grandes plateformes numériques et poursuit ses travaux sur l’IA.

La Commission a également publié le 30 avril ses consignes pour renforcer la sécurité des grandes bases de données.

Ces mesures prolongent et renforcent les précautions de sécurité élémentaires.

A l’instar des mesures cyber prioritaires de l’ANSSI ou visant à prévenir les fuites de données, elles n’ont pas pour objectif d’énumérer toutes les mesures suffisantes, mais attirent l’attention des responsables de traitement sur des mesures de sécurité que la CNIL considère requises dès lors que de grandes bases de données sont concernées, notamment au regard des risques d’exfiltrations massives de données.

Deux cents médias français portent plainte contre Meta pour « pratiques illégales » : selon Le Monde, « plusieurs groupes de presse (Prisma, Les Echos-Le Parisien, CMI), des quotidiens nationaux et régionaux ainsi que l’audiovisuel privé comme public (TF1, RMC-BFM, France Télévisions et Radio France) accusent Meta d’avoir profité de la période où eux-mêmes mettaient en place le consentement de leurs utilisateurs au recueil de leurs informations personnelles pour s’adonner à de la publicité ciblée ».

 

istituzioni e organismi europei

Le 23 avril, la Commission européenne a infligé ses deux premières amendes au titre du règlement sur les marchés numériques (DMA).

Plus précisément, Apple et Meta ont été condamnés respectivement à une amende de 500 millions d’euros et 200 millions d’euros.

La Commission estime qu’Apple n’a pas respecté ses obligations en matière d’offre d’applications sur l’App Store.

En ce qui concerne Meta, la société  se voit infliger une amende de 200 millions d’euros en raison de son système de « consentement ou paiement ».

La Commission a estimé que ce modèle ne donnait pas aux utilisateurs le choix spécifique d’opter pour un service équivalent mais qui utiliserait moins de données personnelles.

Notons que depuis cette enquête, Meta a introduit une troisième option, celle des « publicités moins personnalisées », qui n’a pas encore été évaluée par la Commission.

La Commission a publié quatre nouveaux appels d’offres d’un montant de 140 millions d’euros dans le cadre du programme pour une Europe numérique (DIGITAL) afin de faire progresser le déploiement de l’IA, de promouvoir les compétences numériques avancées, d’étendre le réseau des centres européens d’innovation numérique (EDIH) et de lutter contre la désinformation.

Elle a publié le 9 avril dans ce contexte un appel à contribution concernant une future législation sur le cloud et l’IA (Cloud and AI Development Act – CAIDA).

L’objectif serait de remédier à l’absence d’une offre européenne compétitive de services cloud à une échelle suffisante pour les utilisations hautement critiques ayant des besoins de sécurité particulièrement élevés.

L’EDPB et l’EDPS ont présenté leurs rapports annuels 2024 fin avril.

L’EDPS a souligné l’évolution de son rôle au regard du règlement européen sur l’IA, qui le mandate pour être l’autorité de surveillance et de notification pour les institutions de l’UE.

Le rapport de l’EDPB donne une vue d’ensemble des travaux réalisés en 2024 dont l’adoption de la stratégie 2024-2027, l’augmentation des avis dans le cadre du mécanisme de cohérence au titre de l’art. 64(2) et les efforts continus pour fournir des orientations et des conseils juridiques, notamment aux PME.

Lors de sa plénière d’avril 2025, l’EDPB a adopté des lignes directrices sur le traitement des données à caractère personnel par le biais des technologies blockchain.

Le document souligne l’importance de mettre en œuvre des mesures techniques et organisationnelles dès les premières étapes de la conception du traitement et de définir au même moment les rôles et responsabilités des différents acteurs du traitement.

Il rappelle l’importance de l’analyse d’impact sur la protection des données, et fournit des exemples de techniques de minimisation des données, ainsi que de traitement et de stockage des données à caractère personnel. Les lignes directrices sont ouvertes à consultation jusqu’au 9 juin.

En matière d’accès aux documents administratifs, la Cour de justice de l’Union européenne (CJUE) a adopté un jugement concernant l’équilibre à trouver entre ce droit et la protection des données de personnes mentionnées dans ces documents.

Elle a jugé que l’article 6(1)(c) et (e) du RGPD ne s’oppose pas à des obligations d’information supplémentaires et de la consultation de la personne concernée avant toute divulgation de données à caractère personnel la concernant.

Toutefois, ces obligations supplémentaires ne doivent pas avoir pour effet de restreindre de manière disproportionnée l’accès du public à ces documents.

La CJUE publie une mise à jour de sa fiche thématique sur ses arrêts les plus importants en matière de protection des données.

Le document couvre la jurisprudence relative à la réglementation générale en matière de protection des données et celle portant sur la réglementation sectorielle (communications électroniques et droit pénal). Elle présente également une sélection d’arrêts portant sur des réglementations transversales, tout en mettant  en exergue le rôle de la Charte dans le développement de la jurisprudence.

Les utilisateurs européens des plateformes Meta ont reçu courant avril une notification les informant de l’utilisation par Facebook et Instagram de leurs données dans un but de formation à l’IA, accompagnée d’un lien vers un formulaire d’opposition.

L’APD norvégienne a publié un billet de blog expliquant les conséquences de cette décision et les recours des particuliers. Elle indique également avoir demandé à Meta, avec d’autres APD, si elle avait examiné la compatibilité de l’entraînement à l’IA avec l’objectif initial de collecte des messages et images des utilisateurs.

L’association internationale des professionnels de la vie privée (IAPP) publie un tableau proposant un aperçu des exigences en matière de notification des incidents de sécurité numériques et de partage d’informations de plusieurs législations européennes.

Il prend en considération le RGPD, la directive « police », la directive ePrivacy, le règlement sur la gouvernance des données, le règlement sur les données, la directive NIS2, le règlement sur la résilience opérationnelle numérique, la directive sur les services de paiement 2, le règlement sur la cyber-résilience et celui concernant l’IA.

Microsoft a officiellement mis en place son principe de localisation (« data boundary ») de données européennes pour les services cloud, s’engageant à stocker et à traiter les données personnelles de ses clients exclusivement au sein de l’UE et de l’AELE.

Les données de certains services Azure peuvent néanmoins être transférées en dehors de l’UE si Microsoft le juge nécessaire pour des enquêtes de cybersécurité.

Par ailleurs, rappelons que le Cloud Act permet aux autorités américaines d’avoir accès aux données des entreprises américaines quel que soit l’endroit où elles sont stockées.

 

Actualité des pays membres de l’Union Européenne.

La Cour fédérale de justice allemande a considéré que des entités qualifiées (telles que des organisations de consommateurs) sont autorisées à intenter des actions en justice pour violation des obligations d’information du RGPD en vertu de la loi sur la protection des consommateurs, indépendamment de la violation spécifique et sans mandat des personnes concernées.

L’affaire concernait le non-respect par Meta Platforms Ireland Ltd (Meta) des exigences légales relatives à l’obtention du consentement des utilisateurs.

En Belgique, une décision rappelle que le champ d’application du RGPD s’étend aux données professionnelles : l’APD a infligé une amende de 20 000 euros à un courtier en données interentreprises pour avoir notamment collecté et divulgué l’adresse électronique de l’associé directeur d’une société.

L’APD a également rappelé qu’un responsable de traitement ne peut obliger un individu à créer un compte en ligne si cela n’est pas nécessaire, dans le cas d’espèce pour porter plainte.

La société a ici enfreint les principes de minimisation et de protection des données par défaut et dès la conception.

En Espagne, une société (Marina Salud) gérant les données d’un hôpital pour le compte du gouvernement autonome de la Communauté de Valence a été condamnée à une amende de 500 000 euros après avoir désigné des sous-traitants secondaires sans l’autorisation du responsable du traitement, en violation de l’article 28(2) du RGPD.

Également en Espagne, une banque a été condamnée à une amende de 120 000 euros pour le traitement illégal des données personnelles d’un client en violation de l’article 6(1) du RGPD, suite à l’imitation de la signature du client par un employé sur un accord de protection des données.

TikTok a été condamné le 2 mai par l’APD irlandaise à une amende de 530 millions d’euros pour avoir envoyé illégalement des données personnelles d’européens en Chine et l’avoir caché à ses utilisateurs.

TikTok a six mois pour mettre ses pratiques en conformité avec le RGPD.

Un tribunal irlandais a validé la décision de l’APD qui avait estimé qu’un employeur n’était pas le responsable de traitement en ce qui concerne les données non professionnelles contenues dans le téléphone professionnel d’un de ses employés.

L’APD maltaise publie une série de FAQ sur la gestion des comptes de courrier électronique des employés lorsqu’ils quittent leur organisation.

Le guide encourage les employeurs à adopter une approche proactive et structurée de la gestion des comptes, tant pendant la relation de travail qu’après le départ de l’employé, et à répondre aux questions clés concernant les pratiques courantes telles que le transfert automatique des courriers et les messages de réponse automatiques.

Dans le contexte des élections présidentielles organisées en Roumanie les 4 et 18 mai, TikTok a annoncé de nouvelles mesures visant à empêcher une campagne de désinformation comparable à celle qui aurait contribué à propulser en novembre dernier le candidat Călin Georgescu en tête du 1er tour.

L’application a en outre lancé un « Centre des élections », qui présente des informations telles que les dates importantes et des liens vers le site web de l’Autorité électorale permanente, et publié des outils de sensibilisation concernant la désinformation.

Ces mesures sont prises alors que la Commission européenne a lancé une enquête au titre du règlement sur les services numériques (DSA) afin de faire la lumière sur les événements de novembre.

 

En Chine, l’administration du cyberespace vient d’annoncer le lancement d’une campagne de trois mois visant à lutter contre l’utilisation abusive des technologies de l’IA. Les départements responsables du contrôle de l’internet seront tenus de guider les plateformes en ligne pour qu’elles répondent aux exigences de la campagne, en renforçant les mécanismes d’examen des contenus générés par l’IA, en améliorant les capacités de détection et en veillant à la bonne mise en œuvre des mesures correctives.

Aux Etats-Unis, des membres de la commission de l’énergie et du commerce de la Chambre des représentants ont lancé une enquête sur les relations de Deepseek avec le parti communiste chinois. Le Chatbot ne se contenterait pas d’envoyer des données en Chine, mais partagerait également les informations personnelles des utilisateurs avec d’autres entités liées au parti, dont ByteDance Ltd. L’application d’IA est aussi soupçonnée de collecter le rythme cardiaque de ses utilisateurs.

L’ONG « Future of Privacy Forum” (FPF) est sous le feu de l’administration Trump. Le président de la commission du commerce du Sénat américain, Ted Cruz (R-Texas), exige des réponses du FPF, qui aurait utilisé des subventions fédérales pour inciter les États à adopter des « lois de gauche » en matière d’IA. Le sénateur Cruz s’inquiète du fait que le groupe plaiderait ouvertement en faveur de réglementations sur l’IA alignées sur l’agenda politique de l’administration Biden. Il examine également les subventions fédérales accordées à l’ONG.

Selon Euractiv qui relaie des informations du Financial Times, la Commission européenne équipe son personnel envoyé aux États-Unis de téléphones jetables en raison des craintes de surveillance. « Les nouvelles directives émises par l’exécutif de l’UE, qui préconise également l’utilisation d’ordinateurs simplifiés lors des voyages aux États-Unis, sont similaires à celles concernant les voyages en Ukraine ou en Chine. Il est conseillé à tout le personnel d’éteindre ses appareils et de les placer dans une pochette anti-espionnage dédiée à son entrée dans le pays. »

CNN rapporte que l’administration Trump met en place avec l’aide de la société Palantir une « base de données générale pour accélérer l’application des lois sur l’immigration et les déportations en combinant des données sensibles provenant de l’ensemble du gouvernement fédéral », créer des « listes de ciblage » et arrêter les personnes ciblées. Le media Wired a précédemment annoncé que « le DOGE rassemble des bases de données sur l’immigration provenant de l’ensemble du département de la sécurité intérieure (DHS) et télécharge des données provenant d’agences extérieures, notamment l’Administration de la sécurité sociale (SSA), ainsi que des dossiers de vote », qui seraient hébergées sur un logiciel développé par Palantir.