Panorama rapide de l’actualité « Compliance » de la semaine du 17 novembre 2025

Sélection de l’actualité « Compliance » marquante de la semaine du 17 novembre.

Numérique et protection des données à caractère personnel

Publication des propositions des règlements européens « Digital Omnibus » par la Commission européenne 

  • La Commission européenne a publié le 19 novembre 2025 ses propositions de règlements européens « Digital Omnibus ». L’objectif déclaré est de simplifier le cadre réglementaire applicable au numérique, afin de soutenir la compétitivité de l’Union européenne, tout en préservant les droits fondamentaux
    Les propositions prévoient la modification de différents corpus de règles : règlement général sur la protection des données (RGPD), règlement sur l’intelligence artificielle (AI Act), directive ePrivacy, règlement sur la gouvernance des données (DGA), etc
    Concernant l’intelligence artificielle, la Commission prévoit un report de l’entrée en application des dispositions de l’AI Act relatives aux systèmes à haut risque. Elle justifie ce décalage notamment par le retard pris dans l’adoption de normes destinées à clarifier les obligations de l’AI Act ainsi que par le risque de coûts importants de mise en conformité qui en résulterait. La date d’application qui est actuellement fixée au mois d’août 2026, serait reportée au plus tard à décembre 2027 ou août 2028, selon les systèmes d’IA à haut risque concernés.
    La Commission propose également de fournir une base juridique permettant le traitement de données sensibles (au sens de l’article 9 du RGPD) par les fournisseurs et les déployeurs de tous les systèmes et modèles d’IA, lorsque cela est nécessaire pour détecter et éliminer les biais.
    En matière de cybersécurité, la Commission propose la mise en place d’un point d’entrée unique pour effectuer les notifications obligatoires d’incidents prévues notamment par la directive NIS2, le RGPD et DORA.
    Elle propose également de clarifier la notion de données à caractère personnel au sein du RGPD. Cela fait écho à la récente décision de la CJUE qui précise la notion de pseudonymisation dans un contexte de communication de données à caractère personnel à des tiers. (CJUE, 4 sept. 2025, aff. C-413/23 P, EDPB c. SRB)
    Ces textes, qui contiennent bien d’autres dispositions, vont à présent être soumis au Parlement européen et au Conseil de l’UE. (Proposition de réglement européen "Digital Omnibus")

RSE

TotalEnergies visé par une plainte pour « complicité de crimes de guerre » au Mozambique

  • Une plainte a été déposée le 17 novembre 2025 auprès du Parquet national antiterroriste par l’European Center for Constitutional and Human Rights (ECCHR) visant TotalEnergies et des personnes non identifiées pour des faits qualifiés de « complicité de crimes de guerre, torture et disparitions forcées » dans la province de Cabo Delgado, au Mozambique. Les faits allégués concernent la période de juillet à septembre 2021 autour du projet Mozambique LNG, situé dans une zone marquée par un conflit armé impliquant les forces mozambicaines et des groupes insurgés.
    Selon la plainte, une unité militaire chargée de la sécurité du site aurait procédé à des détentions de civils dans des conteneurs, où ils auraient été soumis à des conditions de traitement assimilées à des actes de torture, plusieurs personnes étant décédées ou portées disparues. L’ECCHR soutient que TotalEnergies aurait matériellement soutenu cette unité au travers de prestations logistiques, d’hébergement et de fournitures diverses, tout en ayant connaissance de risques d’atteintes graves aux droits humains. 

CJIP

Publication de la CJIP SURYS

  • Le PNF a conclu en septembre une CJIP avec SURYS pour des faits de corruption d’agent public étranger, détournement de fonds publics et blanchiment après la découverte d’un système de surfacturation et de commissions indûment versées via un intermédiaire estonien dans le cadre d’un marché public ukrainien de production de passeports. La CJIP comprend une amende de 18,36 millions € payable en trois échéances, un programme de mise en conformité de 3 ans au sein du groupe IMPRIMERIE NATIONALE sous supervision de l’AFA, dont le coût sera supporté par SURYS à hauteur d’un montant maximum de 700 000 euros, et l’indemnisation de l’Etat ukrainien à hauteur de 3 770 000 euros.

Publication de la CJIP CACIB

  • Le PNF a conclu également en septembre une CJIP avec CACIB pour des faits de blanchiment aggravé de fraude fiscale aggravée, à la suite des révélations journalistiques sur des fraudes « CumCum », à savoir des mécanismes d’arbitrage de dividendes, ainsi que des plaintes d’un député et d’un collectif citoyen. La CJIP comprend une amende de 88,25 millions € payable en trois échéances, un programme de mise en conformité de 3 ans au sein du groupe IMPRIMERIE NATIONALE sous supervision de l’AFA, dont le coût sera supporté par SURYS à hauteur d’un montant maximum de 700 000 euros, et l’indemnisation de l’Etat ukrainien à hauteur de 3 770 000 euros.

Marchés financiers

Publication par l’ESMA de l’Annual Sanctions Report 2025

  • L’ESMA a publié son Annual Sanctions Report 2025, qui recense 975 sanctions prononcées en Europe en 2024 pour un total de 100,2 millions euros d’amendes, en forte hausse. La France se distingue nettement : l’AMF est l’autorité ayant infligé le plus haut montant d’amendes en Europe, soit 29,4 millions €. Près de 70 % de ces sanctions françaises relèvent du Règlement Abus de Marché (MAR), confirmant la priorité donnée à la lutte contre la manipulation et l’abus d’information privilégiée. L’ESMA souligne d’importantes disparités entre États membres et appelle à une plus grande convergence des pratiques de sanction.

 

© Lefebvre Dalloz