Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 15 septembre 2025

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 15 septembre.

Données personnelles

  • Le 11 septembre 2025, le Comité européen de la protection des données (CEPD) a adopté sa première série de lignes directrices sur l’interaction entre le règlement européen sur les services numériques (DSA) et le règlement général sur la protection des données (RGPD). Ces lignes directrices visent à préciser les modalités d’application du RGPD dans le cadre des obligations imposées par le DSA aux services numériques pour permettre une application cohérente de ces deux textes.
    Le DSA impose aux moteurs de recherche et plateformes des obligations visant à instaurer un environnement numérique plus sûr. Certaines impliquent un traitement de données personnelles, renvoyant aux notions du RGPD telles que le « profilage » ou les « catégories particulières de données ». Le CEPD souligne la nécessité d’une interprétation cohérente des deux règlements afin de garantir la sécurité juridique des fournisseurs et la protection des droits fondamentaux des utilisateurs.
    Les lignes directrices du CEPD précisent l’articulation entre le DSA et le RGPD sur deux points importants : d’une part, pour les systèmes de notification et d’action relatifs aux contenus illicites, les hébergeurs ne doivent collecter que les données strictement nécessaires et l’identification de l’auteur de la notification ne doit être exigée que si elle est indispensable ; d’autre part, pour la publicité en ligne, les obligations de transparence du DSA s’ajoutent à celles du RGPD, lequel impose la transparence dès la collecte et maintient l’interdiction de traiter certaines données même en cas de base légale ou de dérogation.
    Les lignes directrices du CEPD clarifient notamment les points suivants :
    – l’articulation des règles du DSA encadrant les systèmes de notification et d’action relatifs aux contenus illicites - qui peuvent entraîner un traitement de données à caractère personnel – avec les dispositions du RGPD. À ce titre, les lignes directrices précisent que les hébergeurs ne devraient collecter que les données à caractère personnel nécessaires et le système de notification devrait simplement permettre, sans l’imposer, l’identification de l’auteur de la notification, sauf si cette identification est nécessaire pour déterminer si les informations constituent un contenu illicite.
    - la transparence de la publicité des plateformes en ligne : le DSA impose aux plateformes en ligne des obligations de transparence sur les publicités et leur interdit l’utilisation de catégories particulières de données à des fins de profilage. Ces obligations doivent s’articuler avec celles du RGPD, qui exigent que la transparence soit assurée en amont du traitement de données à caractère personnel, et prévoient que l’interdiction de traiter certaines données demeure applicable même si une base légale ou une dérogation est invoquée.
    Par ailleurs, les lignes directrices du CEPD fournissent des orientations pratiques relatives à la coopération interréglementaire entre les autorités de contrôle compétentes au titre de chaque règlement. Ainsi, elles prévoient que le principe de coopération loyale exige des autorités qu’elles se consultent mutuellement lorsqu’elles examinent le comportement d’un prestataire de services intermédiaires, d’un responsable de traitement ou d’un sous-traitant.
    Dans le prolongement de ces premières lignes directrices, le CEPD travaille avec la Commission européenne à l’élaboration de lignes directrices sur l’interaction entre le règlement sur les marchés numériques (DMA) et le RGPD ainsi que de lignes directrices sur l’interaction entre la loi sur l’intelligence artificielle (IA Act) et la législation européenne en matière de protection des données.

Données

Le Data Act, est entré en application le 12 septembre

  • Le 12 septembre 2025, le règlement (UE) 2023/2854 du Parlement européen et du Conseil concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données, également connu sous le nom de « Data Act » ou « Règlement européen sur les données », est entré en vigueur dans l’ensemble des pays de l’Union européenne. Adopté le 13 décembre 2023, le Data Act s’inscrit dans la continuité du Data Governance Act qui instaure un cadre de confiance pour le partage volontaire de données dans l’intérêt des entreprises et des citoyens.
    Le Data Act vise à donner aux utilisateurs d’appareils connectés (téléviseurs, montres intelligentes, voitures, etc.) le contrôle des données qu’ils génèrent et à permettre aux entreprises de les exploiter dans le cadre de services après-vente. Il garantit ainsi aux consommateurs et aux entreprises un accès aux données brutes de leurs appareils, ainsi que la possibilité de les utiliser et de les partager selon des règles équitables.
    À titre d’exemple, le Data Act impose que les appareils connectés commercialisés sur le marché de l’Union européenne soient conçus de manière à faciliter le partage des données. Il confère ainsi aux utilisateurs la possibilité de faire appel à des prestataires de réparation et d’entretien plus abordables, ou encore de réparer eux-mêmes leurs équipements. De plus, il garantit aux utilisateurs d’équipements industriels connectés – en particulier dans les secteurs de l’agriculture et de l’industrie – un accès direct aux données relatives à leurs performances. Enfin, le règlement interdit toute clause contractuelle abusive ayant pour objet ou pour effet de limiter le partage de données.
    Pour en faciliter l’application, la Commission européenne prévoit la mise en place d’outils pratiques, tels qu’un service d’assistance juridique destiné à accompagner directement les entreprises. Elle entend également publier des orientations sur l’usage des données en lien avec la protection des secrets d’affaires, ainsi que proposer des clauses types pour le partage de données et des clauses standard pour les contrats d’informatique en nuage.

La Commission a publié, le 16 septembre, un appel à contributions devant alimenter le « digital omnibus », attendu pour début décembre.

  • La Commission européenne a publié le 16 septembre 2025 une consultation publique sur le projet de directive et de règlement Digital Omnibus, attendu pour décembre 2025. La consultation publique se clôturera le 14 octobre 2025.
    Le Digital Omnibus s’inscrit dans l’initiative de la Commission européenne « Une Europe plus simple et plus rapide » (11 février 2025), visant à alléger et clarifier le cadre réglementaire. Son objectif est de réduire les charges administratives pour les entreprises, les administrations et les citoyens, à travers des ajustements ciblés en matière de gouvernance des données, cybersécurité, intelligence artificielle et identité numérique. En parallèle, un Digital Fitness Check évaluera l’impact des réglementations existantes.
    Concrètement, le texte prévoit :
    - une gestion simplifiée des cookies, réduisant les demandes répétées de consentement tout en renforçant la protection de la vie privée ;
    - une standardisation des procédures de notification en cybersécurité pour limiter doublons et surcoûts ;
    - une clarification de l’application du règlement sur l’IA et de sa compatibilité avec les autres textes.
    Les effets attendus sont significatifs : réduction des coûts administratifs, notamment pour les PME, fluidité accrue pour les utilisateurs grâce à une meilleure gestion des cookies et une protection renforcée des données, et confiance consolidée dans les services numériques par des règles plus claires en matière de cybersécurité et d’identité numérique.
    Fondée sur trois consultations publiques (stratégie européenne des données, révision du Cybersecurity Act, application du règlement IA), la proposition fait désormais l’objet d’un appel à contributions des acteurs du numérique.

Le 10 septembre, Google a dévoilé « Data Transfer Essentials », un nouveau service multicloud conçu en conformité avec le Data Act : annonce

  • Le 10 septembre 2025, Google Cloud a lancé « Data Transfer Essentials », un service destiné aux clients de l’Union européenne et du Royaume-Uni permettant le transfert de données entre Google Cloud et d’autres fournisseurs de services cloud.
    Cette initiative accompagne l’entrée en vigueur, le 12 septembre 2025, du Data Act, qui impose des obligations de portabilité, d’interopérabilité (chapitre VIII) et de limitation des effets de verrouillage contractuel ou technique. Comme le rappelle son considérant 78, la possibilité pour les clients de changer de fournisseur ou d’utiliser plusieurs services cloud sans obstacle injustifiés ni frais excessifs constitue une condition essentielle d’un marché concurrentiel.
    Fait notable, Google Cloud propose ce service sans frais de sortie (« egress fees »), alors que le Data Act autorise en principe la facturation des coûts de transfert, à condition qu’ils se limitent aux dépenses réellement occasionnées (art. 34).
    Enfin, l’initiative s’inscrit dans l’esprit du Digital Markets, Competition and Consumers Act 2024 britannique, qui encadre les acteurs puissants du numérique afin de renforcer la portabilité et l’interopérabilité. Elle fait également écho aux conclusions de l’enquête conjointe de l’Ofcom et de la CMA sur le marché du cloud, pointant les coûts de sortie et les barrières techniques comme principaux freins au changement de fournisseur (https://www.gov.uk/cma-cases/cloud-services-market-investigation).

Contenus numériques

Les juges adoptent une lecture convergente du DSA, de la LCEN et des droits fondamentaux : pas de retrait ou de déréférencement sans contenu clairement illicite

  • Le 5 septembre 2025, Tribunal judiciaire de Paris n’a pas fait droit à la demande de la société Point Sun contre TikTok Technology Limited visant le retrait d’une vidéo publiée par une utilisatrice affirmant avoir subi de graves brûlures lors d’une séance de bronzage et la communication de ses données d’identification.
    La société invoquait principalement :
    - l’article 6-I.8 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), estimant que la vidéo constituait une pratique commerciale trompeuse (C. consom., art. L. 121-2 s.) et un dénigrement (C. civ., art. 1240) entraînant une perte de clientèle ;
    - l’absence de mentions légales imposées aux influenceurs professionnels, en application de la loi n° 2023-451 du 9 juin 2023 encadrant l’influence commerciale, en soutenant que l’utilisatrice agissait comme une influenceuse.
    Le tribunal a rejeté ces arguments : aucune preuve d’un faux avis ou d’une pratique commerciale trompeuse n’était rapportée ; la vidéo relevait du témoignage personnel, circonstancié et appuyé de photos, dans lequel l’utilisatrice reconnaissait sa propre responsabilité, sans excès ni volonté manifeste de discrédit ; la qualification d’influenceuse professionnelle n’était pas établie : conformément à la loi de 2023 (JORF n° 0133 du 10 juin 2023), celle-ci suppose une activité de promotion rémunérée, ce qui n’était pas démontré.
    S’agissant de TikTok, le tribunal rappelle qu’il doit être qualifié de service d’hébergement au sens du Digital Services Act (DSA, règl. [UE] 2022/2065), soumis à un régime de responsabilité limitée. Dans ce cadre, une mesure de retrait ou de communication de données ne peut être ordonnée qu’en cas d’abus caractérisé, ce qui n’était pas établi en l’espèce.
    La décision illustre l’articulation entre le droit interne (LCEN, Code civil, Code de la consommation), la loi de 2023 sur les influenceurs, les droits fondamentaux (Conv. EDH, art. 10) et le cadre européen du DSA. Elle confirme la primauté de la liberté d’expression dès lors qu’un propos critique s’appuie sur une expérience personnelle et n’a pas pour objet de dénigrer ou diffamer. Elle rappelle enfin que toute demande de retrait ou d’identification doit être étayée par des preuves tangibles établissant le caractère manifestement illicite du contenu, l’existence d’un préjudice et, le cas échéant, le statut professionnel de son auteur. (TJ Paris, 3e ch., 5 sept. 2025, n° 25/523999)
  • Par ordonnance de référé du 3 septembre 2025, le tribunal judiciaire de Paris, statuant selon la procédure accélérée au fond de l’article 6-3 LCEN, a rejeté la demande d’un ancien Youtubeur et ex-rédacteur en chef adjoint de Playboy France visant au déréférencement d’un article du Parisien relatant des accusations de viol classées sans suite.
    Le demandeur invoquait le RGPD (art. 5, 17 et 21) au titre du droit à l’oubli et, subsidiairement, la diffamation (Loi du 29 juill. 1881, art. 29). Le tribunal rappelle que le classement sans suite ne prouve pas l’inexactitude des faits et, après mise en balance, considère que l’article relève d’un sujet d’intérêt général, concernant une personnalité notoire. Un déréférencement constituerait une atteinte disproportionnée au droit du public à l’information. La diffamation n’étant pas caractérisée, la demande est également rejetée.
    Cette approche s’inscrit dans la logique du Digital Services Act (DSA), qui encadre les très grandes plateformes comme Google Search : toute mesure de retrait ou de restriction doit être nécessaire et proportionnée et ne peut viser des contenus qui ne sont pas manifestement illicites, afin de préserver la liberté d’expression et d’éviter le sur-blocage d’informations d’intérêt général. (TJ Paris, 3 sept. 2025, n° 25/52343)

Plateformes

Le Conseil constitutionnel juge conforme à la Constitution la « taxe sur les services numériques » (TSN)

  • Saisi par le Conseil d’État d’une question prioritaire de constitutionnalité introduite par la société Digital Classifieds France, appuyée notamment par Airbnb, le Conseil constitutionnel a jugé conforme à la Constitution la taxe sur les services numériques instaurée par la loi du 24 juillet 2019. Les requérantes invoquaient une atteinte au principe d’égalité devant la loi et les charges publiques, l’imprécision des dispositions fiscales et le caractère confiscatoire de la taxe.
    Le Conseil a estimé que les critères d’assujettissement, fixés à 750 millions d’euros de chiffre d’affaires mondial et 25 millions d’euros en France, reposent sur des critères objectifs, rationnels et proportionnés. Il a jugé que l’assiette de la taxe, strictement limitée aux recettes générées en France, respecte le principe de territorialité grâce à des indicateurs fiables de localisation des utilisateurs tels que l’adresse IP ou l’ouverture d’un compte. Le taux unique de 3 % ne présente pas de caractère confiscatoire et ne crée pas de rupture d’égalité entre entreprises françaises et étrangères. Quant au régime transitoire de 2019, limité aux cinq derniers mois de l’année, il n’est pas discriminatoire car justifié par la nécessité de faciliter la mise en œuvre de la taxe.
    En définitive, le Conseil constitutionnel a validé la TSN, considérant qu’elle respecte les principes d’égalité, de territorialité et de proportionnalité et qu’elle relève de la compétence du législateur pour élargir les ressources budgétaires de l’État sans porter atteinte aux droits et libertés constitutionnels. (Cons. const. 12 sept. 2025, n° 2025-1157 QPC)

 

par Mélanie Clément-Fontaine, Professeure de droit privé, Université Paris-Saclay-UVSQ

© Lefebvre Dalloz