Veille Juridique n°90 – décembre 2025. 

 

Data, IA, cybersécurité : who’s who des directives et règlements à suivre en 2026.

De nombreuses réglementations adoptées ces dernières années vont désormais entrer pleinement en vigueur ou atteindre des étapes décisives de leur mise en œuvre.

Parallèlement, les nouvelles initiatives de la Commission européenne, en particulier le Digital Omnibus et le projet de loi sur l’équité numérique, annoncent de nouveaux ajustements réglementaires destinés à compléter ou à modifier les réglementations existantes.

Le RGPD, en vigueur depuis 2018, reste aujourd’hui la pierre angulaire du cadre de la protection des données, avec la directive ePrivacy dont la révision est actuellement abandonnée.

La Commission entend simplifier via sa proposition Omnibus plusieurs aspects du RGPD en lien avec le développement de l’intelligence artificielle (IA) : elle prévoit de reconnaître le développement et l’exploitation des systèmes d’IA comme un « intérêt légitime » au sens du RGPD et d’introduire une nouvelle base juridique pour le traitement des données sensibles destinées à l’entraînement des modèles d’IA.

Plus largement, le Digital Omnibus réduirait la charge de conformité pour les entreprises, par exemple en assouplissant le seuil à partir duquel une violation de données doit être signalée et en élargissant les situations dans lesquelles les données peuvent être considérées comme « anonymes ».

Les réglementations du paquet numérique, et plus précisément le règlement sur les marchés numériques (DMA) et le règlement sur les services numériques (DSA), viennent préciser les règles applicables à l’économie numérique et la responsabilité des plateformes.

Ils sont en vigueur depuis 2024 et la Commission a commencé prononcer des sanctions en 2025.

Le DSA s’applique aux très grandes plateformes en ligne (VLOP) et très grands moteurs de recherche en ligne (VLOSE) ainsi qu’à tous les intermédiaires qui offrent leurs services à des utilisateurs basés dans l’UE.

Plusieurs obligations du DSA recoupent celles du RGPD.

Er bestaan bijvoorbeeld vergelijkbare of aanvullende verplichtingen met betrekking tot "dark patterns", gerichte reclame op basis van gevoelige gegevens of gericht op minderjarigen, transparantie, profilering, risicoanalyse en het verwijderen van illegale inhoud.

En 2025, le Comité européen de protection des données (EDPB) a publié des lignes directrices sur ces questions de recoupement.

L’objectif premier du DMA est d’empêcher les géants de la tech ou « gatekeepers » de profiter d’avantages liés à leur position dominante.

Certaines de ces obligations viennent renforcer celles prévues par le DSA en termes de protection des utilisateurs, en particulier en matière de profilage.

La stratégie de l’UE en matière de données vise quant à elle à créer un marché unique des données, à encourager l’innovation et à garantir un partage sûr et efficace des données dans toute l’Union européenne.

Les textes suivants ont un impact en matière de données personnelles : le règlement sur la gouvernance des données (DGA), le règlement sur les données (DA), le règlement concernant les transactions électroniques (eIDAS) et le règlement relatif à l’espace européen des données de santé (EHDS). 

La proposition Omnibus de la Commission entend simplifier le cadre législatif dans ce domaine.

Le texte prévoit notamment l’abrogation du DGA et de la directive de 2019 sur les données ouvertes.

DE DA resterait la référence centrale et inclurait les éléments essentiels conservés des autres textes.

Outre une harmonisation des définitions, les petites et moyennes entreprises (jusqu’à 750 employés) seraient exemptées de certaines obligations.

Le DA, applicable depuis le 12 septembre 2025, voit une partie importante de ses obligations entrer en vigueur le 12 septembre 2026 : la réglementation prévoit l’obligation de concevoir les produits connectés et les services associés de manière à ce que les données relatives aux produits et aux services associés soient accessibles par défaut aux utilisateurs, et à partir de septembre, les fabricants devront veiller à ce que l’accès aux données soit techniquement assuré dès les phases de développement et de conception des produits.

En ce qui concerne le règlement eIDAS, à partir de 2026, les États membres seront tenus de fournir à leurs citoyens et à leurs entreprises au moins un portefeuille d’identité numérique conforme aux normes de l’UE, permettant aux utilisateurs de stocker de façon sécurisée leurs données d’identité, identifiants et attributs (carte d’identité, permis de conduire, informations de paiement, etc) et de les communiquer de manière sélective aux autorités publiques et aux prestataires privés.

Les entreprises, plateformes en ligne et services administratifs devront aussi s’adapter à ces nouvelles formes d’identification et d’authentification numériques.

L’EHDS est entré en vigueur le 26 mars 2025, mais ses principales dispositions seront pleinement applicables à partir de mars 2029.

Le règlement sur l’IA, en vigueur depuis août 2024, devient décisif pour les entreprises à partir du 2 août 2026.

Certaines obligations s’appliquent déjà, telles que la transparence de l’interaction avec des chatbots ou l’étiquetage de contenus générés par l’IA, et la garantie d’une compétence suffisante en matière d’IA parmi les employés travaillant avec des systèmes d’IA.

Mais à partir du mois d’août des exigences plus complètes devraient s’appliquer aux systèmes d’IA à haut risque utilisés dans des domaines sensibles tels que la gestion des ressources humaines, l’évaluation des performances ou l’accès à des services essentiels.

La Commission prévoit toutefois dans sa proposition Omnibus de reporter l’application de ces règles à décembre 2027.

Certaines obligations seraient également simplifiées, ici aussi, pour les petites et moyennes entreprises jusqu’à 750 employés.

En matière de sécurité, on mentionnera la directive relative à la Sécurité des réseaux et systèmes d’information (NIS2) en vigueur depuis octobre 2024, le règlement sur la résilience opérationnelle numérique (DORA) en vigueur depuis janvier 2025, ainsi que le règlement sur la cyber résilience (CRA).

En ce qui concerne ce dernier, les principales obligations des fabricants de produits comportant des éléments numériques entreront en vigueur le 11 septembre 2026, dont l’obligation de notification obligatoire pour les vulnérabilités activement exploitées et les incidents de sécurité graves.

Les fabricants devront ainsi signaler aux autorités de surveillance du marché compétentes, dans des délais très courts, les vulnérabilités identifiées et les incidents de sécurité qui compromettent de manière significative la sécurité d’un produit.

Pour couronner cette liste de réglementations, mentionnons enfin la proposition concernant un règlement sur l’équité numérique (DFA) qui devrait encore accroître la complexité du cadre légal pour les fournisseurs de services en ligne.

En juillet 2025, la Commission a lancé une consultation publique sur ce projet qui viserait à lutter contre les « pratiques commerciales déloyales » telles que les dark patterns, les fonctionnalités addictives et la personnalisation abusive, y compris celles liées aux agents IA.

Quel est l’avenir de ces propositions ? Les prochains mois devraient être décisifs : la présidence chypriote viserait à obtenir un mandat d’ici fin mars ou début avril pour négocier l’Omnibus avec le Parlement européen, reflétant la volonté de l’adopter avant que les exigences à haut risque du règlement sur l’IA n’entrent en vigueur en août.

 

On relève plusieurs sanctions conséquentes de la CNIL adoptées juste avant et après le passage en 2026, toutes en lien avec la sécurité des données.

Le 13 janvier 2026, la CNIL a sanctionné les sociétés Free mobile et Free, à hauteur respectivement de 27 et 15 millions d’euros, compte tenu du caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés.

En octobre 2024, un attaquant était parvenu à s’infiltrer dans le système d’information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d’abonnés, dont des IBAN.

Le 22 décembre 2025, elle a sanctionné la société Nexpublica France d’une amende de 1 700 000 euros pour ne pas avoir prévu des mesures de sécurité suffisantes pour son logiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale

Le 11 décembre 2025, elle a sanctionné Mobius Solutions Ltd, sous-traitant à l’origine d’une violation de données des utilisateurs de la société Deezer. Une amende d’un million d’euros lui a été infligée pour non-respect de règles applicables en matière de sous-traitance : conservation des données après expiration du contrat, traitement non autorisé et défaut de tenue d’un registre des traitements.

Trois employés de la société avaient conservé une copie des données de plus de 46 millions d’utilisateurs de Deezer après la fin de leur relation contractuelle, les exposant à des failles de sécurité ayant conduit à la mise en ligne de données sur le dark web.

La Cour d’appel administrative de Versailles a considéré le 11 décembre qu’un patient ne pouvait pas demander à un hôpital de rectifier une évaluation médicale, car celle-ci constituait une opinion subjective.

Ce principe reste d’application même lorsque le diagnostic du responsable du traitement diffère des diagnostics ultérieurs.

Les hallucinations de l’IA dans les conclusions des avocats sont parfois perçues avec indulgence par les juges, c’est en tout cas le point de vue du tribunal judiciaire de Périgueux dans sa décision du 18 décembre dernier.

Celui-ci relève « (…) que les références de jurisprudence citées par le requérant, mais non produites dans ses pièces, ne semblent pas correspondre à des décisions publiées. (…).

Le tribunal invitera donc le requérant et son conseil à vérifier à l’avenir que les références qu’ils ont pu trouver sur des moteurs de recherches ou à l’aide de l’intelligence artificielle ne sont pas des « hallucinations ».

Cette position contraste avec une décision belge récente, mentionnée ci-après.

Le ministère de l’intérieur a subi une cyberattaque de grande ampleur mi-décembre.

Le ministre de l’intérieur a confirmé, mercredi 17 décembre, « que les services de Beauvau ont été la cible d’une cyberattaque massive, évoquant un acte très grave, qui a engendré la publication de fichiers, notamment celui des antécédents judiciaires » et des personnes recherchées. L’intrusion informatique s’est faite par le biais des messageries mails des agents du ministère.

En matière de cyberattaques, relevons également que la CNIL a requis dans le cadre de sa formation restreinte du 18 décembre 2025 une sanction de 5 millions d’euros contre France Travail pour défaut de sécurité ayant abouti à la violation de données ayant affecté 36,8 millions de personnes.

 

Europese instellingen en organen

Le règlement de l’UE établissant des règles procédurales supplémentaires relatives à l’application du RGPD a été publié le 12 décembre dernier et s’appliquera à compter du 2 avril 2027.

Ce texte a pour objectif de rationaliser le traitement procédural des cas transfrontaliers relevant du RGPD par les autorités nationales chargées de la protection des données (APD), d’améliorer la coopération entre les APD grâce à des procédures structurées, des rôles plus clairs et des délais définis, et de renforcer les garanties procédurales et la sécurité juridique pour les plaignants et les parties faisant l’objet d’une enquête, y compris le droit d’être entendu, l’accès aux dossiers et l’efficacité des recours judiciaires.

La Commission européenne a publié le 17 décembre son premier projet de code de bonnes pratiques sur le marquage et l’étiquetage des contenus générés par l’IA.

Le projet comprend deux sections.

La première section couvre les règles relatives au marquage et à la détection des contenus générés par l’IA, applicables aux fournisseurs de systèmes d’IA générative.

• La deuxième couvre l’étiquetage des deepfakes et de certains textes générés ou manipulés par l’IA sur des questions d’intérêt public et s’applique aux déployeurs de systèmes d’IA générative.

La Commission recueillera les commentaires jusqu’au 23 janvier, l’objectif étant de finaliser le code d’ici le mois de juin.

Le 19 décembre 2025, la Commission européenne a annoncé le renouvellement des deux décisions d’adéquation relatives au Royaume-Uni initialement adoptées en 2021, réaffirmant que les données à caractère personnel peuvent continuer à circuler librement entre l’Espace économique européen et le Royaume-Uni.

Dans le jugement Storstockholms Lokaltrafik (C-422/24) du 18 décembre dernier, la Cour de justice de l’Union européenne a précisé la notion de collecte directe de données à caractère personnel.

Celle-ci « n’exige ni que la personne concernée fournisse sciemment des données ni aucune action particulière de sa part. Dès lors, les données issues de l’observation de la personne qui en est la source sont considérées comme collectées directement auprès de celle-ci. »

Ces précisions ont une incidence sur le moment et l’étendue de l’obligation d’information, qui doit être immédiate et plus complète.

Le cas d’espèce concernait le contrôle d’un titre de transport par un agent muni d’une caméra corporelle.

La Cour suggère que les informations les plus importantes soient indiquées sur un signe d’avertissement, et les autres informations fournies dans un endroit facilement accessible.

Le 23 décembre, le gouvernement Trump a pris des sanctions à l’égard de 5 ressortissants européens en réponse à la récente amende imposée par la Commission européenne à la société X en vertu du règlement sur les services numériques (DSA). Thierry Breton, ancien Commissaire européen au numérique, ainsi que plusieurs membres de la société civile travaillant pour les ONGs HateAid, Center for Countering Digital Hate et The Global Disinformation Index, sont interdits de séjour sur le sol des Etats-Unis.

Washington dénonce les obligations de modération, de signalement et de responsabilité des plateformes prévues par le DSA, considérées ici comme des mesures de censure extraterritoriales.

Le 5 décembre, la Commission européenne avait infligé une amende de 120 millions d’euros à X pour avoir manqué à ses obligations de transparence en vertu du DSA.

Les manquements concernent notamment la conception trompeuse de sa « validation bleue » pour les comptes vérifiés, le manque de transparence de son répertoire publicitaire et le fait de ne pas avoir donné accès aux données publiques aux chercheurs.

 

Nieuws uit de lidstaten van de Europese Unie.

Dans une décision du 10 novembre dernier, le tribunal régional de Darmstadt en Allemagne a réduit à 0€ les honoraires d’un expert ayant largement utilisé l’IA pour préparer un rapport judiciaire sans le divulguer.

Le tribunal a invoqué les éléments suivants pour réduire les honoraires :

1. Le fait de ne pas avoir déclaré l’utilisation de l’IA et l’absence d’un véritable auteur ont constitué un manquement aux obligations procédurales.
2. Le rapport a été jugé inutilisable : absence d’examen personnel, erreurs factuelles et indices évidents de texte généré par l’IA.
3. La transparence et la responsabilité sont essentielles dans les avis d’experts.

Le tribunal allemand de Lübeck a accordé à un demandeur 5 000 € de dommages-intérêts immatériels à l’encontre de Meta, pour avoir traité des données à caractère personnel sans avoir obtenu son consentement préalable via l’utilisation des outils Meta Business Tools.

Le transfert de données depuis des sites web tiers vers Meta ont lieu indépendamment de l’activation par l’utilisateur des applications Meta et de l’obtention de son consentement.

Le tribunal a estimé que Meta avait enfreint l’article 6(1) du RGPD, entraînant une menace suffisamment concrète pour la personne concernée, qui a souffert d’une crainte fondée d’utilisation abusive de ses données à caractère personnel sous la forme d’une perte de contrôle.

En Autriche, la Cour suprême a jugé le 26 novembre dernier que Meta devait fournir à ses utilisateurs un accès complet à toutes leurs données personnelles, y compris leurs sources, leurs destinataires et leurs finalités.

Une simple liste indicative n’est pas suffisante.

La Cour a également estimé que la publicité personnalisée et le traitement des données personnelles (sensibles) provenant de sites web tiers nécessitaient le consentement de la personne concernée.

Une récente décision belge a sanctionné à hauteur de plus de 25 000 euros des demandeurs ayant utilisé des outils d’IA générative pour rédiger leurs conclusions en appel, pour abus manifeste de procédure, appel téméraire et recours abusif.

La Cour d’appel d’Anvers relève une production d’arguments « incohérents et complètement dénués de sens » étayés par une jurisprudence inexistante et des sources juridiques inventées.

En Belgique également, l’APD a adressé une réprimande à une entreprise pour avoir illégalement transmis des informations sur un ancien employé lors d’une conversation téléphonique avec une autre entreprise dans le cadre d’un processus de recrutement.

L’APD a également réprimandé les deux entreprises pour ne pas avoir répondu aux demandes d’accès de la personne concernée.

En Croatie, la banque AZOP a été sanctionnée à hauteur de 1 500 000 € pour de multiples infractions au RGPD.

La banque a traité les données à caractère personnel de 433 922 utilisateurs sans base juridique, sans fournir les informations requises aux utilisateurs, et elle n’avait pas mis en œuvre les mesures techniques et organisationnelles appropriées.

 

L’APD britannique (ICO) a infligé une amende de 1,2 million £ au fournisseur de gestionnaires de mots de passe LastPass UK Ltd à la suite d’une violation de données survenue en 2022 qui a compromis les informations personnelles de près de 1,6 million de ses utilisateurs britanniques.

L’ICO a constaté que LastPass n’avait pas mis en œuvre des mesures techniques et de sécurité suffisamment robustes, ce qui a finalement permis à un pirate informatique d’accéder sans autorisation à sa base de données de sauvegarde.

Les États-Unis ont renouvelé leur exigence d’accès aux bases de données biométriques nationales des pays de l’UE participant au programme d’exemption de visa (VWP), et entendent conclure un accord à ce sujet avant fin 2026.

Washington demande cet accès depuis 2022, dans le cadre des « Partenariats renforcés pour la sécurité des frontières » (EBSP) des États-Unis, et menace de supprimer l’exemption de visa en cas de refus.

L’étendue de l’accès reste incertaine.

La position européenne à ce stade semble vouloir le limiter aux personnes voyageant vers les Etats-Unis.

L’accès concernerait les données biométriques telles que les empreintes digitales et les scans faciaux mais également d’autres données sensibles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ou celles concernant la santé ou la vie sexuelle lorsque cela est nécessaire et proportionné « pour prévenir ou combattre les infractions pénales et terroristes ».

Les capitales européennes ont accepté en décembre d’accorder à la Commission européenne un mandat de négociation pour le cadre de cet accord, dont les détails seront décidés par les États membres.

Aux Etats-Unis encore, l’utilisation de l’IA pour transcrire les rapports des caméras corporelles des policiers de Heber City, dans l’Utah, a eu des conséquences incongrues.

Le logiciel Draft One, basé sur le LLM d’Open AI, a ainsi rapporté qu’un agent s’était transformé en grenouille.

Le logiciel aurait en réalité détecté le film qui passait en arrière-plan, qui se trouvait être « La Princesse et la Grenouille ».

Au-delà de l’ironie de la situation, le cas d’espèce pose des questions relevées par Cybernews. « Alors que l’objectif est de réduire la quantité de paperasse, avec des erreurs telles que celle commise à Heber City les agents risquent de passer encore plus de temps à vérifier les rapports. » Une enquête menée l’année dernière par l’Electronic Frontier Foundation (EFF) a révélé que Draft One « semble avoir été délibérément conçu pour éviter les audits qui pourraient permettre de rendre des comptes au public ».

« Il est souvent impossible de savoir quelles parties d’un rapport de police ont été générées par l’IA et quelles parties ont été rédigées par un agent ».

Enfin, un rapport de Privacy Laws & Business indique que la réglementation de la vie privée se renforce malgré tout aux États-Unis, où 19 États ont désormais emboîté le pas à la Californie en adoptant des lois sur la protection de la vie privée, souvent axées sur les questions relatives aux enfants.

Peu d’États s’intéressent à la collecte et à l’utilisation des données biométriques.

L’Illinois occupe depuis longtemps une position de leader, suivi désormais par le Texas et l’État de Washington.

Il n’y a toujours pas de consensus sur une nouvelle réglementation en matière de protection de la vie privée au niveau fédéral, « mais la FTC a pris des mesures coercitives impliquant des centaines de millions de dollars de dommages-intérêts et de sanctions pécuniaires dans le cadre d’accords avec les grandes entreprises en ligne Epic Games, Amazon et Microsoft », ou récemment Disney Worldwide Services, avec un accord portant sur 10 millions de dollars pour infraction à la loi sur la protection des enfants en ligne (COPPA).