Veille Juridique n°83 – mai 2025. 

La souveraineté européenne en matière de données : un vœu pieux ?

Le blocage par Microsoft du compte de messagerie du procureur général de la Cour pénale internationale (CPI), Karim Khan, pose la question cruciale de la souveraineté numérique de la France et de l’Europe en général face aux acteurs majeurs de la tech.

Selon l’agence AP, le compte de messagerie de M. Khan a été bloqué sans avertissement, contraignant celui-ci à utiliser les services du fournisseur d’accès suisse Proton.

Le tribunal dépendant fortement de fournisseurs de services tels que Microsoft, son travail s’en est trouvé considérablement ralenti.

Cette décision de Microsoft est une conséquence directe des mesures prises par le président américain Donald Trump à l’encontre de la Cour de La Haye en février, après qu’un panel de juges de la CPI a émis des mandats d’arrêt contre le Premier ministre israélien Benjamin Netanyahu et son ancien ministre de la Défense Yoav Gallant pour crimes de guerre dans la bande de Gaza.

Le décret du président interdit notamment la fourniture de fonds, de biens ou de services au profit du procureur général de la CPI ainsi que toute transaction qui contournerait ces interdictions, ceci au motif que les actions de l’ICC constituent une menace inhabituelle et extraordinaire à la sécurité nationale et à la politique étrangère des Etats-Unis.

Une publication néerlandaise du 31 mai relève dans ce contexte que, compte tenu du nombre de serveurs américains utilisés par le secteur public, « le gouvernement américain pourrait bloquer ou manipuler plus de 650 sites néerlandais de gouvernements et d’entreprises critiques en appuyant sur un bouton, y compris ceux de De Nederlandsche Bank et ceux de la police, mais aussi le site (…) du ministère des Affaires étrangères. Tout comme le site Web Crisis.nl, site de référence pour les néerlandais en cas de catastrophe. »

On trouve un autre exemple des conséquences potentielles de notre dépendance technologique dans une affaire récente opposant OpenAI à la justice des Etats-Unis:  la société se bat actuellement contre une décision lui enjoignant de conserver tous les journaux des utilisateurs de ChatGPT – y compris les discussions supprimées et celles à caractère sensible, enregistrées par le biais de son offre commerciale API.

A l’origine de cette décision, on trouve des organisations de presse poursuivant des revendications de droits d’auteur, qui ont accusé OpenAI de détruire des preuves.

Dans sa réaction, l’entreprise avance que le tribunal se fonde uniquement sur une allégation du New York Times et d’autres plaignants du secteur des médias, et qu’elle « empêche sans aucune raison valable OpenAI de respecter les décisions de ses utilisateurs en matière de protection de la vie privée ».

Sans se prononcer sur la question légitime du respect des droits d’auteur, l’affaire nous amène à nous interroger sur le contrôle que peuvent avoir des puissances étrangères, en l’occurrence les Etats-Unis, sur nos outils de travail quotidien, à partir du moment où eux seuls décident des motivations d’intérêt national justifiant un tel contrôle.

Ceci paraît particulièrement préoccupant dans un monde où l’État de droit se trouve de plus en plus malmené et où les alliances politiques fluctuent au jour le jour.

Dans ce contexte morose où l’Europe est souvent accusée d’être à la traîne, on relève une nouvelle encourageante : le Centre d’Accès Sécurisé aux Données (CASD) est devenu mi-mai le premier service d’hébergement de données en Europe à obtenir la certification officielle RGPD délivrée en vertu de l’article 42 du RGPD et le référentiel Europrivacy.

Cette certification est officiellement reconnue par les autorités de protection des données de 30 pays – tous les États membres de l’UE et de l’EEE.

Le CASD dispose déjà de nombreuses certifications (ISO 27001, ISO 2770) et est aussi, notamment, Hébergeur de Données de Santé (HDS).

On sait aussi que l’Europe investit actuellement dans l’IA, que ce soit financièrement ou dans un objectif de simplification des normes (voir les actualités ci-après). Le Manifeste de l’IMA (Innovation Makers Alliance), soutenu par des acteurs tels qu’OVHcloud, Hexatrust ou Mistral AI, a également présenté en mars 33 propositions ciblant l’IA, le cloud, la cybersécurité, et les marchés publics, en vue d’un rééquilibrage urgent… Alors que dans le même temps, Microsoft a offert aux gouvernements européens un programme gratuit de défense contre les cyberattaques.

Les initiatives européennes ne déploieront tout leur potentiel que si nos réflexes évoluent, que ce soit en termes de choix stratégiques en matière d’outils d’IA, de services d’hébergement, mais aussi d’hygiène numérique : avant de transmettre ou de stocker des données, il est primordial de ne traiter, au départ, que les données strictement essentielles et de mettre en place, que ce soit dans le contexte du secteur public ou du secteur privé, des pratiques et chartes limitant les risques de perte de contrôle sur ces données.

 

Le 15 mai 2025, la CNIL a sanctionné la société Solocal Marketing services d’une amende de 900 000 euros pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable.

Elle a sanctionné le même jour la société Caloga d’une amende de 80 000 euros pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable.

Le député et membre de la CNIL Philippe Latombe a interrogé fin mai le ministre de l’Économie, des finances et de la souveraineté industrielle et numérique via une question parlementaire sur le choix de la mutuelle ALAN par de nombreux organismes publics, pour fournir une complémentaire santé à leurs agents.

Il souligne que « cette licorne française (…) héberge ses données chez Amazon Web Services (AWS) et se trouve donc assujettie à l’extraterritorialité du droit américain ».

Le député demande au gouvernement s’il envisage, « dans un souci de protection des données sensibles de ses agents et de cohérence avec les directives qu’il émet, de demander à ALAN de migrer vers un cloud souverain ».

Par une décision datée du 5 mai dernier, le Conseil d’État a posé une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) au sujet de la portée du consentement : l’affaire concerne la société Canal+, sanctionnée par la CNIL en octobre 2023 pour avoir utilisé à des fins de prospection électronique des données collectées par ses partenaires fournisseurs d’accès à internet, alors que lors du consentement, les partenaires n’étaient pas identifiés explicitement.

Le Conseil d’État demande en substance à la CJUE si le consentement donné à un responsable principal du traitement des données (tel qu’un FAI) pour le traitement par « ses partenaires » peut être considéré comme suffisant pour autoriser chacun de ces partenaires à mener des campagnes de marketing, même s’ils ne sont pas identifiés au moment de la collecte.

Le 25 avril, le Conseil d’État (CE) a refusé de suspendre une décision de la CNIL qui autorisait l’Agence européenne des médicaments (EMA) à mettre en œuvre un traitement de données pour une étude sur l’incidence et la prévalence des pathologies dans le cadre du projet « DARWIN EU ».

La requérante invoquait l’urgence de la mesure au motif que le traitement proposé concerne les données de santé de 10 millions de Français qui seraient hébergées par Microsoft, nécessitant des transferts vers les États-Unis où les garanties seraient insuffisantes.

Le CE considère que, « s’il ne peut être totalement exclu que les données du traitement (…) fassent l’objet de demandes d’accès par les autorités des Etats-Unis, par l’intermédiaire de la société mère de l’hébergeur, et que celui-ci ne puisse s’y opposer, ce risque demeure hypothétique en l’état de l’instruction.

En deuxième lieu, outre que la société Microsoft Ireland dispose de la certification  » hébergeur de données de santé  » (HDS) (…), des garanties et mesures de sécurité entourent la mise en œuvre du projet, notamment en ce que les données seront pseudonymisées à plusieurs reprises et non directement identifiantes, de sorte que la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu’elle refuse l’autorisation demandée, dont elle a au demeurant limité la durée à trois ans. »

La Cour d’appel de Bordeaux a annulé le 13 mai un contrat concernant le développement d’un site internet en raison de manquements à la réglementation sur la protection des données personnelles, et en particulier au regard des obligations concernant l’information et le consentement relatifs aux cookies.

Le secteur des cryptomonnaies est en émoi après plusieurs tentatives d’enlèvement.

Un directeur de la plateforme Paymium, visée par une tentative récente, pointe du doigt les développements réglementaires qui entendent appliquer au secteur des cryptomonnaies plusieurs règles visant à lever l’anonymat, et déjà applicables au secteur bancaire en matière de blanchiment d’argent ou de lutte contre le trafic de stupéfiant.

Ils visent en particulier les dispositifs nationaux et européens destinés à rendre les fonds intraçables.

Ces inquiétudes sont relayées par certains experts en cybersécurité qui avancent que l’anonymat peut être utilisé dans un contexte légitime, mais elles sont aussi relativisées par d’autres qui rappellent l’ensemble des garanties de protection des données déjà applicables au secteur financier.

 

Institutions et organismes européens

La Commission européenne a publié le 21 mai une proposition de modification du RGPD visant à alléger les obligations des PMEs et à les étendre aux entreprises de taille intermédiaire employant moins de 750 personnes.

Les modifications les plus importantes concernent les exigences relatives au registre des activités de traitement (RAT).

L’exception actuelle de l’article 30(5) serait étendue à l’ensemble de ces entreprises.

Cette nouvelle exception s’appliquerait à moins que le traitement soit susceptible d’entraîner un « risque élevé » pour les droits et libertés des personnes concernées (par opposition au « risque » actuel).

Le texte ajouterait également un considérant précisant que le traitement de catégories particulières de données nécessaires à l’application du droit du travail et de la sécurité sociale en vertu de l’article 9(2)(b) ne déclenche pas, en soi, l’obligation de maintenir un RAT.

Les propositions modifieraient également les dispositions relatives aux codes de conduite (article 40) et aux systèmes de certification (article 42) pour les étendre aux entreprises employant moins de 750 personnes.

Ces articles exigent actuellement des États membres, des autorités de protection des données (APDs), de la Commission et de l’EDPB qu’ils « encouragent » l’élaboration de codes et de certifications qui tiennent compte des « besoins spécifiques » des PME.

Afin d’alimenter la future stratégie de l’Union en matière de données, la Commission européenne ouvre une consultation concernant l’utilisation des données dans l’IA, la simplification des règles applicables aux données et les flux internationaux de données.

L’objectif est de permettre la constitution d’ensembles de données de haute qualité, interopérables et diversifiés nécessaires à l’IA, tout en assurant la cohérence entre les politiques, les infrastructures et les instruments juridiques relatifs aux données.

La consultation est ouverte jusqu’au 18 juillet.

La Commission publie également une consultation sur un projet de lignes directrices concernant le règlement sur les services numériques (DSA), ouverte jusqu’au 10 juin.

Le texte prévoit des orientations sur la protection des mineurs en ligne. La Commission prévoit de publier les lignes directrices définitives cet été. Elle travaille également sur une application de vérification de l’âge.

Le 27 mai, la Commission européenne a annoncé qu’elle avait ouvert des enquêtes pour protéger les mineurs contre les contenus pornographiques dans le cadre du règlement sur les services numériques (DSA).

Les enquêtes menées sur Pornhub, Stripchat, XNXX et XVideos se concentrent sur les risques liés à l’absence de mesures efficaces de vérification de l’âge.

En parallèle, les États membres, réunis au sein du Conseil européen des services numériques, mènent une action coordonnée contre les petites plateformes pornographiques

Le Contrôleur européen de la protection des données a publié le 28 mai un avis sur la proposition de règlement établissant un système commun pour le retour des ressortissants de pays tiers en séjour irrégulier dans l’UE.

S’il reconnaît la nécessité d’une application plus efficace de la législation existante en matière de migration et d’asile, il souligne que « la protection des données – en tant que droit fondamental inscrit dans la Charte – constitue l’une des dernières lignes de défense pour les personnes vulnérables, telles que les migrants et les demandeurs d’asile qui approchent des frontières extérieures de l’UE. »

L’ONG noyb a envoyé le 14 mai à Meta une lettre de « cessation et d’abstention » en tant qu’entité qualifiée au titre de la nouvelle directive européenne sur les recours collectifs, concernant l’entraînement de l’IA de Meta sans le consentement de l’utilisateur.

Une injonction préliminaire avait également été déposée en Allemagne par la Verbraucherzentrale NRW, rejetée par la cour fin mai (voyez infra).

 

Actualité des pays membres de l’Union Européenne.

L’autorité fédérale allemande de protection des données (BfDI) a publié un questionnaire de conformité à l’IA conçu pour aider les organisations à valider leurs initiatives en matière d’IA et à s’assurer qu’elles respectent le RGPD.

La Haute Cour régionale de Cologne a estimé le 23 mai que Meta n’avait pas enfreint le RGPD ou le règlement européen sur les marchés numériques en utilisant les données de profil de ses utilisateurs pour améliorer son système d’IA, en précisant que cette évaluation est cohérente avec l’évaluation effectuée par l’APD irlandaise compétente en Europe au regard de Meta.

TikTok fait l’objet d’un recours collectif en Allemagne. L’ONG néerlandaise Stichting Onderzoek Marktinformatie (Somi), qui a déposé une demande de dommages et intérêts auprès d’un tribunal de Berlin, affirme que « TikTok collecte et analyse des données personnelles hautement personnelles et intimes de ses utilisateurs dans une mesure qui va bien au-delà de ce qui est nécessaire ».

L’organisation affirme que l’algorithme de la plateforme crée « un système de manipulation et de dépendance », en particulier pour les enfants. L’ONG demande des dommages et intérêts pouvant aller jusqu’à 2 000 euros par personne.

L’APD belge a procédé à une évaluation de l’accord FATCA conclu entre l’État belge et les Etats-Unis et a estimé qu’il n’était pas compatible avec le RGPD.

Les plaintes portaient sur le transfert de données personnelles relatives à des plaignants, dont des « américains accidentels » belges, vers les autorités fiscales américaines.

L’APD a réprimandé le Service public fédéral des finances pour violations du RGPD et a constaté une violation des principes de finalité, de minimisation des données et des règles de transferts de données. 

Cette décision a une portée qui dépasse la Belgique, des accords similaires ayant été conclus par les Etats-Unis dans d’autres pays de l’Union européenne.

L’APD espagnole a infligé une amende de 1 200 euros à une entreprise andalouse qui demandait à ses salariés en télétravail de fournir leur numéro de téléphone personnel pour les ajouter au groupe WhatsApp de l’entreprise.

Les employés pouvaient en théorie consentir ou choisir l’alternative de l’e-mail, mais l’entreprise les incitait à utiliser WhatsApp pour la bonne fluidité des échanges.

L’APD a rappelé que le consentement n’est pas une base légale valide dans une relation salarié-employeur.

Toujours en Espagne, la société Carrefour a été sanctionnée par l’APD à hauteur 3,2 millions d’euros pour ne pas avoir protégé l’accès aux comptes de ses clients.

La société a été condamnée alors même que les identifiants utilisés dans le contexte du piratage ne lui avaient pas été dérobés directement, mais parce qu’elle avait manqué à son devoir de vigilance et que ses dispositifs de sécurité ne lui permettaient pas de détecter des attaques massives provenant d’un très grand nombre d’adresses IP.

L’APD italienne a sanctionné la société américaine Luka Inc, fournisseur du « compagnon virtuel « Replika AI », à hauteur de 5 millions d’euros pour traitement illégal de données à caractère personnel, violation des règles de transparence, et pour n’avoir pas mis en œuvre de mécanismes efficaces de vérification de l’âge des utilisateurs.

L’APD polonaise a infligé une amende de 100 000 PLN (23 448,50 €) au ministre polonais de la numérisation et de 27 124 816 PLN (6 444 174 €) à la poste polonaise pour avoir traité illégalement les données personnelles d’environ 30 millions de citoyens afin de faciliter le vote par correspondance lors d’une élection générale.

 

Le gouvernement australien a publié des clauses types relatives à l’IA.

Ces clauses s’appliquent aux conditions d’achat des systèmes d’IA, garantissant qu’ils sont achetés et mis en œuvre de manière responsable, éthique et sûre. Elles visent à atténuer les risques et à promouvoir transparence et responsabilité dans le déploiement de l’IA.

Un rapport publié le 5 juin par Privacy Laws and Business indique que de nombreux pays africains adoptent des lois de protection des données personnelles, dans un environnement socio-économique complètement différent de celui de l’Europe ou de l’Amérique du Nord.

« L’Afrique est le premier continent utilisateur d’argent mobile, avec plus de 1,1 milliard de comptes enregistrés, soit plus de la moitié du total mondial. Par conséquent, les priorités de la politique de protection de la vie privée dans les pays africains sont forcément différentes de celles des pays européens ».

Pour l’auteur, ce contexte socio-économique différent signifie que les évaluations de l’UE concernant l’« adéquation » pour le Kenya et d’autres pays d’Afrique, d’Asie et d’Amérique latine devraient, dans une certaine mesure, prendre en compte les circonstances nationales.

Le président des Etats-Unis a signé le 19 mai le « Take It Down Act », un projet de loi dont le but est de bloquer les images intimes non consensuelles, et qui couvre également les « deepfakes » de l’IA.

« Take It Down » est l’acronyme de « Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act ».

Google a accepté de verser 1,375 milliard de dollars à l’État du Texas pour mettre fin à deux actions en justice accusant l’entreprise de suivre la localisation des utilisateurs, les recherches « incognito » et les données vocales et faciales sans leur autorisation.

La société aurait déclaré qu’elle réglait les poursuites judiciaires sans admettre de faute ou de responsabilité, et sans avoir à modifier ses produits, et que depuis les faits ses pratiques avaient évolué.

Pendant ce temps, les résultats de recherches publiées le 3 juin montrent que Meta et la société russe Yandex suivent la navigation web des utilisateurs d’Android, même en mode incognito ou avec un VPN, en exploitant un port local pour relier l’activité de navigation à l’identité connectée.

Google déclare enquêter sur cet abus, qui permet à Meta et à Yandex de convertir des identifiants web éphémères en identités persistantes d’utilisateurs d’applications mobiles.