Panorama rapide de l’actualité « Numérique » de la semaine du 3 novembre 2025

Sélection de l’actualité « Numérique » marquante de la semaine du 3 novembre.

Données personnelles et IA

Les liens entre l’IA Act et divers autres textes législatifs européens essentiels : entre chevauchements et lacunes

  • Le 30 octobre 2025, le Parlement européen a publié une étude portant sur les interférences entre le Règlement sur l’intelligence artificielle (IA Act) et les autres législations numériques de l’Union européenne (UE), comme le Règlement général sur la protection des données (RGPD), le Règlement sur les services numériques (DSA) et le Règlement sur la cyberrésilience (CRA). Commandée par la Commission parlementaire de l’industrie, de la recherche et de l’énergie (ITRE), cette étude évalue la cohérence du cadre juridique numérique de l’UE.
    L’étude souligne plusieurs chevauchements entre l’IA Act et les autres réglementations numériques, les évaluations d’impact sur les droits fondamentaux exigées par l’IA Act se cumulant souvent par exemple avec les analyses d’impact du RGPD. De même, les exigences de cybersécurité applicables aux systèmes à haut risque se superposent à celles du CRA. Par ailleurs, les obligations de transparence imposées aux services intermédiaires utilisant l’IA se chevauchent avec celles du DSA. Enfin, le Data Act impose des obligations supplémentaires aux fournisseurs d’IA, notamment lors des transferts de données vers des pays tiers.
    L’IA Act institue un nouvel organe, le Bureau européen de l’intelligence artificielle, chargé de superviser les modèles à usage général et de coordonner l’application du règlement. Néanmoins, son rôle se recoupe avec celui d’autres autorités, telles que les autorités de protection des données ou les organismes de surveillance du marché, ce qui fait peser un risque de fragmentation réglementaire. En outre, sa position au sein de la Commission européenne soulève des doutes quant à son indépendance opérationnelle et à sa capacité à remplir son mandat sans personnalité juridique propre.
    D’après l’étude, le cumul des législations risque d’imposer des contraintes disproportionnées aux innovateurs de l’IA. Pour y remédier, la commission ITRE avance plusieurs pistes de réflexion. À court terme, elle recommande d’établir des lignes directrices communes et de renforcer la coordination entre les autorités de contrôle. À moyen terme, elle préconise des ajustements législatifs légers pour clarifier les rôles et simplifier les obligations redondantes. À long terme, l’étude appelle au réexamen du cadre réglementaire numérique européen afin de le consolider, le simplifier et de favoriser une industrie européenne de l’IA compétitive et souveraine. (Parlement européen, Etude « Interplay between the AI Act and the EU digital legislative framework »)

Plateforme

L’activité logistique et de livraison d’Amazon constitue-t-elle un service postal au sens de la loi Italienne

  • Le 3 novembre 2025, trois questions préjudicielles ont été publiées au Journal officiel de l’Union européenne. Par celles-ci, le Conseil d’État italien a saisi la Cour de justice de l’Union européenne (CJUE), le 6 août dernier, afin de préciser la qualification des activités logistiques d’Amazon au regard de la directive 97/67/CE. Cette directive structure le marché intérieur des services postaux, définis à son article 2 comme un ensemble intégré de levée, tri, acheminement et distribution d’envois, et autorise, à l’article 9, les États membres à soumettre ces activités à un régime d’autorisation pour garantir les exigences essentielles, notamment la sécurité et la protection des données.
    L’enjeu est multiple : qualifier Amazon de service postal permet aux autorités de lui appliquer le régime strict de la directive 97/67/CE : autorisation préalable, contrôles et obligations de service public. Cette qualification vise à rétablir une concurrence équitable avec les opérateurs postaux traditionnels soumis à ces règles. Elle permet aussi de mieux encadrer les conditions de travail et la sécurité dans la livraison. Sur le plan économique, elle empêche Amazon d’utiliser son modèle logistique intégré pour contourner les régulations. Politiquement, elle offre aux États un levier de souveraineté sur la chaîne logistique et les données. Juridiquement, elle renforce la responsabilité d’Amazon en cas de perte ou de retard de colis. Enfin, cette qualification sert de test jurisprudentiel pour encadrer d’autres plateformes hybrides mêlant numérique et logistique, au cœur du débat sur la régulation des géants technologiques.
    En Italie, la directive 97/67/CE a été transposée par le décret législatif 261/1999 du 22 juillet 1999. Sur le fondement de ce décret, l’AGCOM, a adopté, le 25 juillet 2018, une décision sanctionnant trois sociétés du groupe Amazon pour exercice non autorisé d’activités postales. L’autorité relève qu’Amazon a structuré un réseau opérant l’ensemble des étapes du service postal et qu’elle contrôle les conditions d’exécution du service, y compris via des sous-traitants non-autorisés.
    Les sociétés concernées ont contesté cette analyse : Amazon Italia Transport soutient qu’elle organise seulement des prestations effectuées par des tiers ; Amazon Italia Service affirme fournir et gérer à distance des casiers sans assurer de distribution ; Amazon Italia Logistica a, elle, mis en avant la nature purement logistique de ses opérations.
    Le Tribunal administratif du Latium a rejeté ces arguments, et le Conseil d’État italien a confirmé que chaque société exerce un rôle déterminant dans la chaîne postale. Toutefois, il interroge la CJUE sur la portée des articles 2 et 9 de la directive : ces dispositions autorisent-elles un État membre à qualifier de « service postal » l’ensemble des activités exercées par une plateforme intégrée comme Amazon et à les soumettre à autorisation, alors que ces activités relèvent d’un modèle de plateforme numérique articulant logistique, distribution et contrôle de points de collecte ? (Conseil d’Etat italien, Questions préjudicielles dans les affaires C/2025/5677 - Amazon Italia Services Srl v Autorità per le Garanzie nelle Comunicazioni (AGCOM), C/2025/5678 - Amazon Italia Transport Srl v Autorità per le Garanzie nelle Comunicazioni (AGCOM), C/2025/5676 - Amazon Italia Logistica Srl v Autorità per le Garanzie nelle Comunicazioni (AGCOM))

Régulation du réseau

La Commission européenne a approuvé, le 29 octobre, la création de l’Edic Digital Commons (Edic pour « European Digital Infrastructure Consortium »)

  • Le 29 octobre 2025, la Commission européenne a adopté une décision approuvant la création du DC-EDIC, un consortium pour une infrastructure numérique européenne commune. Le lancement de ce consortium est prévu pour décembre 2025, et réunira quatre membres fondateurs : la France, l’Allemagne, les Pays-Bas et l’Italie. Le Luxembourg, la Slovénie et la Pologne y participent en tant qu’observateurs et les autres États membres pourront y adhérer à tout moment.
    L’objectif poursuivi par ce consortium sera de coordonner le développement et l’exploitation des biens communs numériques, des services de données communs et de l’administration publique connectée grâce à une mise en commun des ressources des États membres.
    Le DC-EDIC sera investi de plusieurs missions :
    - Construire une communauté européenne d’organismes publics et privés
    - Mettre en place un guichet unique et un centre d’expertise
    - Apporter un soutien juridique et technique pour la maintenance et la mise à l’échelle des infrastructures
    - Conseiller en matière de politiques publiques et sensibiliser le public
    - Coordonner et participer à des projets multinationaux
    Ce consortium européen adoptera sa stratégie de mise en œuvre par l’intermédiaire de son Assemblée de membres appuyée par un comité ad hoc. La gestion quotidienne du DC-EDIC sera assurée par un directeur et les adaptations stratégiques seront définies par un conseil consultatif soutenu par des groupes de travail.
    Plusieurs engagements sont formulés par la Commission européenne concernant ce consortium. Les logiciels développés par le DC-EDIC seront diffusés sous des licences libres, open source et en conformité avec le RGPD. Par ailleurs, le directeur et l’équipe fondatrice du DC-EDIC seront nommés prochainement et un projet de soutien au DEP (le programme Europe numérique créé en 2021) sera lancé. Enfin, avant 2027, le DC-EDIC proposera un guichet unique, un centre d’expertise, un forum, un prix et un rapport annuel sur les biens communs numériques.

La souveraineté numérique en France : la Cour des comptes dresse un bilan

  • Le 31 octobre 2025, la Cour des comptes a publié un bilan sur les enjeux de souveraineté des systèmes d’information civils de l’État. Elle revient sur les principales menaces à cette souveraineté, les différents processus de régulation engagés par la France, les faiblesses de son système et dresse plusieurs recommandations.
    La souveraineté numérique est la capacité d’un État à maîtriser les technologies, les données et le droit applicable au numérique afin de préserver l’autonomie et la sécurité de ses systèmes d’information. Selon le Conseil d’État, cette souveraineté est menacée par l’extraterritorialité du droit américain (Foreign Intelligence Surveillance Act de 2008 et Cloud Act de 2018), qui autorise la collecte de données hébergées en dehors des États-Unis, rendant ainsi vulnérables les informations confidentielles des pays étrangers (M. Clement-Fontaine « Plateforme des données de santé : souveraineté numérique et recevabilité du recours », CE 25 juin 2025, n° 495606, Dalloz Actualité, 7 novembre 2025). Cette souveraineté est également entravée par le droit européen du marché intérieur, qui limite la France dans l’adoption de normes discriminatoires à l’égard des opérateurs des autres États membres.
    Afin de préserver sa souveraineté, la France a développé un cadre institutionnel par la mise en place de plusieurs organismes :
    · L’ANSSI (créée en 2009) certifie les matériels de la chaîne de production des systèmes d’information avec la qualification SecNumCloud.
    · Le Réseau interministériel de l’État (RIE), créé en 2015, assure la résilience des communications gouvernementales.
    · La Direction interministérielle du numérique (DINUM), bien qu’elle n’ait pas d’autorité contraignante, assure la continuité du RIE en demandant aux ministères de ne pas souscrire à l’offre cloud de la suite Microsoft Office et en développant elle-même une nouvelle suite de bureautique et de messagerie.
    Elle a également porté le projet FranceConnect pour faire face aux offres d’authentification des entreprises américaines.
    Afin de renforcer la souveraineté numérique de la France, le Premier ministre a édicté en 2021 la doctrine dite « Cloud au centre » qui distingue les données hautement sensibles devant être hébergées sur des infrastructures cloud souveraines des autres données devant être hébergées sur des infrastructures sécurisées. Cette doctrine a été révisée en 2023 afin de restreindre l’obligation d’avoir recours à une infrastructure cloud souveraine aux cas où les données relèvent de secrets protégés et que leur divulgation représente un risque majeur. La loi SREN de 2024 consacre ces deux critères au niveau législatif afin de se conformer au droit européen. Par ailleurs, l’Union européenne envisage de créer un nouveau schéma de certification des fournisseurs de services de cloud afin d’harmoniser la sécurité de ces derniers.
    La Cour des comptes énonce en conséquence plusieurs recommandations. D’une part, elle demande l’élaboration d’une stratégie interministérielle de souveraineté numérique assortie d’une gouvernance et d’un chiffrage budgétaire. D’autre part, elle invite l’État à promouvoir la qualification SecNumCloud au niveau européen. Enfin, elle alerte sur la dépendance de la France aux opérateurs privés traitant des données d’intérêt public (Pronote et Doctolib) et sur la nécessité d’adapter les critères de certification de ces prestataires aux exigences de souveraineté. (Cour des comptes, Rapport publié le 31 oct. 2025)

 

© Lefebvre Dalloz