Panorama rapide de l’actualité « Numérique » de la semaine du 20 octobre 2025

Sélection de l’actualité « Numérique » marquante de la semaine du 20 octobre.

Données personnelles

Adéquation du Royaume-Uni : le CEPD adopte deux avis le 16 octobre 2025 l’un au titre du RGPD et l’autre au titre de la directive dite « Police-Justice »

  • Alors que les dernières décisions d’adéquation pour le Royaume-Uni, adoptées en 2021, avaient été prolongées jusqu’au 27 décembre 2025, la Commission européenne a saisi le CEPD le 22 juillet 2025 dans le cadre du renouvellement de ces décisions au titre de l’article 45, § 2 du RGPD et de la Directive (UE) 2016/680 (« Police-Justice »).
    La Commission de l’Union européenne propose de prolonger le statut du Royaume-Uni de pays adéquat jusqu’au 21 décembre 2031, ce qui aura pour effet de permettre le transfert des données personnelles, sans exigences supplémentaires, depuis les organismes européens vers des organismes britanniques.
    Par ses avis rendus le 16 octobre 2025, le CEPD constate le maintien d’une convergence globale entre le droit britannique et le droit de l’Union européenne, tout en identifiant plusieurs points de vigilance.
    Tout d’abord, il attire l’attention sur les effets du Retained EU Law (Revocation and Reform) Act 2023, qui supprime la primauté du droit de l’Union européenne et la référence explicite aux droits fondamentaux consacrés par la Charte des droits fondamentaux de l’Union européenne. La Commission est invitée à apprécier l’impact de cette réforme sur la protection effective des données.
    Ensuite, le CEPD relève la refonte du test d’adéquation applicable aux transferts vers les pays tiers, désormais fondé sur une norme de protection « non substantiellement inférieure », écartant plusieurs critères essentiels du précédent dispositif (contrôle juridictionnel, accès des autorités publiques, existence d’une autorité indépendante). Il met en garde contre l’élargissement des pouvoirs réglementaires du Secretary of State, susceptible d’engendrer des divergences futures avec le droit de l’Union européenne. En matière de traitement automatisé, le CEPD met en garde contre le caractère permissif du nouveau régime et insiste sur la garantie d’une intervention humaine effective. Il invite la Commission à préciser les dérogations admises et à suivre leur application.
    Par ailleurs, les deux avis soulignent la nécessité de contrôler la restructuration de l’Information Commissionner’s Office (ICO), l’effectivité de ses pouvoirs correctifs et les voies de recours ouvertes aux personnes concernées, ainsi que les larges exemptions fondées sur la sécurité nationale.
    Enfin, le CEPD met en avant les points suivants : les obligations de levée du chiffrement prévues par l’Investigatory Powers Act 2016 ; la notion d’« attente faible ou inexistante en matière de vie privée » introduite par la réforme de 2024 ; et les limites persistantes des garanties du UK-US Cloud Act par rapport à l’« Umbrella Agreement » UE-Etats-Unis. (Opinion 26/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by the United Kingdom - CEPD - Opinion 27/2025 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data by the United Kingdom - CEPD (en anglais))

Saisine des courriers électroniques professionnels par l’autorité nationale de concurrence : l’autorisation judiciaire préalable n’est pas nécessaire

  • Dans ses conclusions du 23 octobre 2025 (affaires jointes C-258/23 à C-260/23), l’avocate générale Laila Medina a estimé que la saisie de courriers électroniques professionnels par une autorité nationale de concurrence, sans autorisation judiciaire préalable, mais sur autorisation du ministère public, n’est pas contraire aux articles 8 (droit à la protection des données personnelles) et 7 (droit au respect de la vie privée) de la Charte des droits fondamentaux de l’Union européenne à condition que certaines garanties procédurales soient en place. L’enquête portait sur des pratiques anticoncurrentielles fondée sur les articles 101 et 102 du TFUE (entente et abus de position dominante)
    Selon l’avocate générale, dès lors que ces courriels peuvent contenir des données à caractère personnel au sens de l’article 4, point 1), du RGPD, leur saisie constitue une limitation au droit garanti par l’article 8 de la Charte. Cette limitation est toutefois licite au sens de l’article 52, § 1er, de la Charte, puisqu’elle est prévue par la loi portugaise, qu’elle respecte le contenu essentiel du droit à la protection des données — la saisie n’ayant pas donné lieu à une collecte généralisée ou indifférenciée — et qu’elle est proportionnée, poursuivant un objectif d’intérêt général consistant à garantir une concurrence loyale sur le marché intérieur. La mesure relève en outre d’un traitement opéré par une autorité publique au sens de l’article 6, § 1er, du RGPD.
    S’agissant de l’autorisation judiciaire préalable à la saisie de courriers électroniques, l’avocate générale estime qu’elle n’est pas imposée par l’article 8 de la Charte dès lors qu’un encadrement strict des pouvoirs de l’autorité nationale de concurrence est prévu, accompagné de garanties procédurales effectives. Ces garanties se traduisent par l’application des principes énoncés à l’article 5 du RGPD : licéité, loyauté et transparence du traitement, limitation des finalités, minimisation des données et limitation de leur conservation.
    Par ailleurs, selon l’avocate générale, il n’y a pas d’atteinte à la vie privée étant précisé que les risques d’ingérence ne sont pas comparables à la situation ayant donné lieu à l’arrêt du 4 octobre 2024 (C-482/12). En effet, la CJUE avait estimé que l’accès par la police au contenu d’un téléphone portable nécessitait une autorisation préalable par une juridiction ou une autorité indépendante eu égard au risque d’ingérence grave dans la vie privée. Or, en l’espèce, l’enquête de l’autorité de la concurrence vise des informations commerciales concernant des personnes morales et non pas des particuliers dont les données personnelles contenues dans la correspondance professionnelle ne sont recueillies que de manière accessoire.
    En conséquence, selon l’avocate générale, la saisie opérée par l’autorité portugaise de concurrence s’inscrit dans un cadre légal suffisamment encadré, assorti d’un contrôle juridictionnel ex post effectif, de sorte que l’absence d’autorisation préalable ne porte pas atteinte au principe de proportionnalité. (CJUE, Concl. 20 oct. 2025, Aff. jointes C-258/23 à C-260/23)

Reconduite de l’injonction de conservation des données de certaines données de connexion

  • Le 16 octobre 2025, le décret n° 2025-980 du 15 octobre 2025 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pendant un an de certaines catégories de données de connexion, signé par le Premier ministre, a été publié au Journal officiel.
    Ce décret, pris en application de l’article L. 34-1 du Code des postes et des communications électroniques (CPCE), permet au Premier ministre d’enjoindre aux opérateurs de communications électroniques de conserver, durant un an, certaines catégories de données de trafic et de localisation, définies par décret en Conseil d’État, lorsqu’une menace grave, actuelle ou prévisible pèse sur la sécurité nationale.
    Entré en vigueur le 21 octobre 2025, le décret s’inscrit également dans le cadre de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (loi LCEN) relatif à l’obligation de conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu en ligne. Il s’applique ainsi aux fournisseurs d’accès à internet et aux hébergeurs de contenus, qui sont tenus de conserver les données dans les conditions et pour la durée prévues par le décret.
    Les données concernées sont les données de trafic et de localisation mentionnées à l’article R. 10-13 du CPCE et à l’article 6 du décret n° 2021-1362 du 20 octobre 2021, pris en application de l’article 6 de la loi LCEN, et ce, après avis de la CNIL :
    • Pour les opérateurs de communications électroniques, il s’agit des caractéristiques techniques des communications, de leur date, horaire et durée, des données relatives aux services complémentaires, ainsi que celles permettant d’identifier les destinataires et la localisation des communications effectuées à l’aide d’un téléphone mobile.
    • Pour les fournisseurs d’accès à internet sont concernées les dates et heures de connexion des abonnés ainsi que les caractéristiques de leur ligne.
    • Pour les hébergeurs de contenus, sont visés l’identifiant attribué au contenu, la nature de l’opération, les date et heure de celle-ci, ainsi que l’identifiant de l’auteur de l’opération lorsque celui-ci est disponible.
    Conformément à l’article L. 34-1 du CPCE, les données conservées ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées. Leur conservation et traitement doivent se limiter aux finalités prévues par le décret et s’effectuer dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. (Décr. n° 2025-980 du 15 oct. 2025 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion)

Intelligence artificielle

IA générative et déontologie : le Conseil consultatif conjoint de la déontologie magistrat-avocat publie un socle commun de bonnes : « guide des risques et bonnes pratiques » de l’IA

  • Le Conseil consultatif conjoint de déontologie de la relation magistrats-avocats (CCC) a publié le 24 octobre 2025 un guide sur l’usage de l’intelligence artificielle générative (IAG) à l’attention des magistrats, et des avocats. L’ambition est de poser une cadre éthique de référence.
    Le CCC s’inscrit dans le prolongement des travaux institutionnels de l’UNESCO (2021), de l’OCDE (2019), de l’Union européenne (Commission européenne 2018 et 2025), du Conseil de l’Europe (2024) et, en France, de la Cour de cassation de 2025 (M. Clément-Fontaine, Vers une gouvernance encadrée de l’IA dans la justice française, Dalloz actualité, 19 juin 2025; M. Barba, L’intelligence artificielle à la Cour de cassation, Dalloz actualité, 20 juin 2025), et du ministère de la Justice (2025) et le Conseil national des barreaux (2024 et 2025).
    Le guide, concis, propose des repères clairs : exemples d’usages, identification des principaux risques déontologiques, bonnes pratiques à adopter, ainsi qu’un glossaire et une synthèse des textes de référence.
    Son objectif est explicite : permettre aux magistrats et aux avocats de tirer parti des outils d’intelligence artificielle tout en préservant le respect des règles déontologiques — et, bien entendu, du cadre légal. Le principe, réaffirmé avec constance dans l’ensemble des travaux cités, demeure inchangé : l’intelligence artificielle ne doit jamais se substituer au discernement humain, et son usage dans la justice doit rester sous contrôle humain.
    Reste à savoir si cette ligne de conduite pourra résister à la pression d’un rythme de travail toujours plus soutenu. Car si l’IA fait gagner du temps, elle risque aussi, comme dans Les Temps modernes de Chaplin, d’en accélérer la cadence. Cette accélération pourrait conduire à relâcher la vigilance nécessaire au contrôle de ce que l’IA produit — au détriment, peut-être, de la qualité et de la responsabilité qui fondent l’acte de juger et de défendre. 

Le Sénat publie le 20 octobre son rapport : « Création et IA : de la prédation au partage de la valeur »

  • Le 20 octobre 2025, le Sénat a publié le rapport d’information n° 842 (2024-2025), intitulé « Création et IA : de la prédation au partage de la valeur », élaboré par la commission de la culture, de l’éducation, de la communication et du sport, dans le cadre de la mission d’information sur l’intelligence artificielle et la création.
    Ce rapport analyse les effets de l’IA générative sur la création artistique et la protection des œuvres de l’esprit. Les sénateurs constatent que la plupart des modèles d’IA sont entraînés sur des contenus protégés par le droit d’auteur, sans autorisation préalable, contrairement aux dispositions du Code de la propriété intellectuelle.
    Ils dénoncent ainsi un vide normatif : la directive européenne du 17 avril 2019 sur les droits d’auteur s’avère inadaptée à la spécificité de l’IA générative. Son exception dite « text and data mining » (TDM), mal délimitée, sert aujourd’hui de fondement au prélèvement de contenus protégés. Le rapport souligne aussi les ambiguïtés du Règlement européen sur l’IA du 13 juin 2024, dont le compromis entre innovation et régulation conduit à une protection affaiblie des auteurs : transparence limitée des données d’entraînement, absence de garanties contraignantes et dépendance à un code de bonnes pratiques non obligatoire.
    Face à ces lacunes, le Sénat appelle à une refondation du cadre juridique européen. Il propose d’ériger un véritable droit à rémunération pour les ayants droit lorsque leurs œuvres sont exploitées à des fins d’entraînement d’IA, d’imposer la transparence complète des données utilisées par les fournisseurs d’IA et de constituer des bases de données.
    Enfin, la mission recommande une réponse graduée en trois étapes : concertation entre les acteurs concernés ; puis, en cas d’échec, dépôt d’une proposition de loi visant à mettre en œuvre une présomption d’utilisation des contenus culturels par les fournisseurs d’IA ; puis, en cas de nouvel échec, instauration d’une taxation du chiffre d’affaires réalisé en France par les fournisseurs d’IA. (Rapport d’information n° 842 (2024-2025), déposé le 9 juill. 2025)

DSA

Signaleur de Confiance, une qualification refusée à une association : le Conseil d’état confirme le refus de l’Arcom

  • Le 17 octobre 2025, le Conseil d’État a confirmé la décision de l’Arcom qui rejette la demande de l’association LA TEAM MOORE tendant à l’attribution du statut de signaleur de confiance au sens de l’article 22, § 2 du règlement 2022/2065 sur les services numériques. Ce statut permet aux entités qui en bénéficient que leurs notifications de contenus illicites soient traitées prioritairement et donnent lieu à des décisions dans les meilleurs délais par les fournisseurs de plateformes en ligne.
    En effet, selon l’Arcom, l’association ne remplissait pas les critères de l’article, à savoir :
    - Disposer d’une expertise et de compétences particulières aux fins de détecter, d’identifier et de notifier des contenus illicites
    - Être indépendantes de tout fournisseur de plateformes en ligne
    - Exercer leurs activités aux fins de la soumission des notifications de manière diligente, précise et objective
    L’association a ainsi demandé au Conseil d’État l’annulation pour excès de pouvoir de la décision de l’Arcom, faisant notamment valoir son expertise et ses compétences en matière de lutte contre les infractions de nature sexuelle commises contre des mineurs au moyen de services de communication en ligne.
    Cependant, selon le Conseil d’État, l’association ne démontre pas qu’elle dispose d’une expertise ou de compétences particulières en matière de signalement des contenus illicites auprès des plateformes en ligne. Ainsi, l’Arcom a bien appliqué les dispositions de l’article 22, § 2 du règlement sur les services numériques, et l’association requérante n’est donc pas fondée à contester sa décision. (CE 17 oct. 2025, n° 501359 C)

Responsabilité des intermédiaires techniques

Les limites de la procédure accélérée au fond en application de l’article L. 6-3 de la loi LCEN

  • Le 10 octobre 2025, le président du tribunal judiciaire de Paris, statuant dans le cadre d’une procédure accélérée au fond engagée par un chirurgien esthétique contre la société Google Ireland, rejette la demande de communication des données d’identification des auteurs d’avis dénigrants publiés sur sa page Google My Business, fondée sur l’article L. 6-3 de la loi du 21 mai 2024 pour la confiance dans l’économie numérique.
    Le demandeur expose être victime depuis février 2025 d’une campagne de cyberharcèlement moral, du fait de la publication d’avis dénigrants sur sa fiche Google My Business. Il soutient que ces faits sont susceptibles de constituer les infractions de harcèlement moral et de cyberharcèlement, au sens des articles 222-33-2 et 222-33-2-2 du Code pénal, ainsi que des actes de diffamation au sens de l’article 29 de la loi du 29 juillet 1881 sur la liberté de la presse. Il sollicite, en conséquence, la communication des données d’identification des auteurs desdits avis.
    Le président du tribunal rappelle qu’une telle mesure ne peut être ordonnée que si elle est justifiée par l’existence d’un dommage, conforme à la loi et proportionnée au regard des droits fondamentaux, notamment le droit au respect de la vie privée, le droit à la protection des données personnelles et la liberté d’expression.
    En l’espèce, le tribunal rejette la demande, considérant que les infractions invoquées ne sont pas caractérisées. En effet, les prétendus faits de harcèlement et de cyberharcèlement ne s’inscrivant pas dans une relation de travail, ces infractions ne sont pas caractérisées. Par ailleurs, les avis litigieux ne sauraient constituer des actes de diffamation, puisqu’ils visent à critiquer les prestations du demandeur et non à porter atteinte à son honneur et à sa considération.
    Ainsi, le demandeur ne démontre pas l’existence d’un dommage au sens de l’article L. 6-3 précité, de nature à justifier une atteinte au droit au respect de la vie privée et à la protection des données personnelles des auteurs des avis litigieux.
    Par ailleurs, le tribunal judiciaire de Paris a rappelé la distinction essentielle entre la procédure accélérée au fond et la procédure de référé.
    Saisi sur le fondement de l’article L. 6-3 de la loi pour la confiance dans l’économie numérique (LCEN), le président du tribunal ne peut statuer que dans le cadre strict de ce texte, c’est-à-dire pour ordonner des mesures destinées à prévenir ou faire cesser un dommage causé par un contenu en ligne.
    En conséquence, les demandes fondées sur les articles 145 et 835 du code de procédure civile (respectivement, une demande de communication des données d’identification, et une demande de dommages-intérêts à titre provisionnel), relevant de la compétence exclusive du juge des référés ou du juge des requêtes, ont été déclarées irrecevables. (TJ Paris, 10 oct. 2025, RG n° 25/52961)

 

© Lefebvre Dalloz