Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 22 septembre 2025

Sélection de l’actualité « Technologies de l’information » de la semaine du 22 septembre

Données personnelles

Publication nominative des sanctions antidopage : un traitement de données personnelles soumis au RGPD

  • Le 25 septembre 2025, l’avocat général Spielmann a conclu que la publication nominative des sanctions antidopage constitue un traitement de données personnelles soumis au RGPD.
    Saisi d’un renvoi préjudiciel par le Verwaltungsgerichtshof (Cour administrative suprême d’Autriche), la Cour de justice de l’Union européenne doit déterminer si la publication en ligne des sanctions antidopage décidée par les autorités autrichiennes respecte les exigences du RGPD. Était en cause la pratique consistant à diffuser systématiquement, sur Internet, les décisions nominatives mentionnant le nom du sportif, la discipline concernée, l’infraction retenue et la durée de la suspension.
    Dans ses conclusions présentées le 25 septembre 2025 (aff. C-474/24), l’avocat général Dean Spielmann estime que la publication en ligne des sanctions antidopage nominatives – mentionnant le nom du sportif, sa discipline, la nature de l’infraction et la durée de suspension – constitue un traitement de données personnelles soumis au RGPD. Il écarte l’argument des autorités autrichiennes selon lequel ce traitement relèverait de l’exception de l’article 2, § 2, a), du RGPD. Cette dérogation est strictement limitée aux activités liées à la sécurité nationale, et ne saurait couvrir la lutte antidopage, intégrée depuis le traité de Lisbonne dans les compétences d’appui de l’Union (TFUE, art. 165).
    Sur le fond, l’avocat général adopte une lecture extensive de la notion de « données concernant la santé » (RGPD, art. 9) : la simple mention d’une substance dopante peut révéler, même indirectement, des informations sur l’état de santé d’un athlète. Il juge également que les sanctions les plus sévères présentent une finalité répressive et une gravité telles qu’elles doivent être rapprochées de « condamnations pénales » au sens de l’article 10 RGPD, impliquant un contrôle par une autorité publique et l’accès à un recours juridictionnel effectif (art. 79).
    Enfin, il met en cause la proportionnalité du dispositif autrichien, qui impose une publication automatique et illimitée sur Internet. Une telle pratique est jugée contraire au principe de minimisation des données (art. 5, § 1, c) : si les objectifs de dissuasion sont légitimes, la diffusion mondiale et permanente excède ce qui est nécessaire, en particulier pour les sportifs peu médiatisés ou en fin de carrière. L’avocat général préconise des mesures alternatives – diffusion restreinte aux fédérations, pseudonymisation des décisions, limitation dans le temps – assorties de garanties comme le droit à l’effacement (art. 17). (CJUE, conclusions de l’avocat général dans l’affaire C-474/24, NADA Austria e.a.)

Caméras dissimulées : la CNIL sanctionne la SAMARITAINE

  • Le 28 novembre 2023, la CNIL a été saisie d’une plainte d’un salarié du magasin « La Samaritaine » dénonçant l’installation en août 2023 de caméras dissimulées dans des faux capteurs de fumée dans les réserves du magasin. Ces dispositifs, dotés de micros, ont traité à l’insu des salariés, des données à caractère personnel de ces derniers. Le 18 septembre 2025, la CNIL a condamné la société SAMARITAINE SAS, qui exploite le magasin, pour plusieurs manquements graves au RGPD, malgré les justifications avancées par cette dernière qui invoquait une recrudescence des vols ainsi que le caractère temporaire et expérimental du dispositif.
    La CNIL a plus particulièrement retenu un manquement aux principes de licéité, loyauté et transparence (art. 5-1-a) et 5-2 du RGPD), en raison du caractère trompeur des caméras dissimulées sous l’apparence de détecteurs de fumée et de l’absence de documentation attestant de leur caractère temporaire. Bien que la société ait argué qu’il s’agissait de caméras « tests » qui n’étaient pas destinées à surveiller les salariés de façon pérenne, la Commission relève l’absence de preuve des allégations de la société dans le registre des traitements et dans l’analyse d’impact sur la protection des données au moment des faits. De plus, la décision met en évidence le fait que le dispositif n’est pas été accompagné des garanties permettant d’assurer un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés. Elle retient également un manquement à l’article 5-1-c) du RGPD considérant que la captation du sonore est excessive au regard de la finalité annoncée par la société (tests en vue de la prévention des vols) quand bien même cette dernière affirme qu’elle n’était pas au courant que les caméras enregistraient le son.
    Par ailleurs, la CNIL retient l’existence d’une violation des obligations de notification de violations de données, notamment prévues par l’article 33 du RGPD. En effet, les 13 et 14 septembre 2023, les caméras ont été démontées par des salariés et deux cartes SD contenant des enregistrements ont été subtilisées, entraînant une violation de données à caractère personnel des salariés en vertu de l’article 4-12 du RGPD. Pourtant, la société n’a notifié cet incident à la CNIL que le 2 décembre 2023, alors que l’article 33.1 du RGPD impose une notification sous 72 heures à l’autorité compétente. Enfin, la CNIL sanctionne le non-respect de l’obligation d’associer le délégué à la protection de données aux questions relatives à la protection des données personnelles (RGPD, art. 38-1). En effet, celui-ci n’a été informé du dispositif que le 2 octobre 2023, postérieurement au démantèlement des caméras par les salariés. La société se défend en invoquant l’urgence de la situation et l’indisponibilité du délégué à la protection de données durant la période estivale. Selon la formation restreinte, le responsable du traitement des données aurait dû consulter le délégué à la protection des données en amont afin que ce dernier lui rappelle les conditions dans lesquelles un tel dispositif pouvait être déployé.
    Au terme de sa délibération, la CNIL inflige à la société SAMARITAINE SAS une amende administrative de 100.000 euros, jugée proportionnée et dissuasive au regard de la gravité des manquements. Par ailleurs, la CNIL a décidé que sa décision serait publiée sur son site et celui de Légifrance, prévoyant toutefois une anonymisation à l’issue d’un délai de deux ans à compter de sa publication. (CNIL, Délib. SAN-2025-008 du 18 sept. 2025)

Intelligence artificielle

Comment les États ont recours à l’IA dans leurs services ? Publication du rapport de l’OCDE : «  Gouverner avec l’intelligence artificielle  »

  • Dans son rapport, l’OCDE relève que, pour les pouvoirs publics, l’intelligence artificielle serait un outil d’automatisation, d’adaptation et d’amélioration qui pourrait être utilisé dans les processus internes, les services publics, ainsi que dans la prise de décision et la détection des fraudes. Cependant, elle met en lumière l’existence d’un retard non négligeable dans le recours à l’intelligence artificielle par les pouvoirs publics par rapport aux acteurs du secteur privé.
    Plus précisément, l’analyse de l’OCDE repose sur le recours à l’intelligence artificielle dans 11 fonctions principales de l’administration des États. Elle révèle une concentration de son utilisation dans la prestation de services publics, la justice et la participation citoyenne. Son utilisation fait toutefois encore défaut dans l’évaluation des politiques publiques, l’administration fiscale ou encore dans la réforme de la fonction publique. Ces différences s’expliquent par la diversité d’usages possibles et la souplesse réglementaire de certains secteurs qui permettent plus facilement de recourir à l’intelligence artificielle. D’autres fonctions, comme l’administration fiscale, ont plus de difficultés à l’adopter en raison de la rigidité de leur cadre législatif.
    Le rapport de l’OCDE met aussi en avant les multiples risques que présente l’utilisation de l’intelligence artificielle pour les administrations publiques : biais algorithmiques, atteinte aux droits humains, manque de transparence, ou accentuation des inégalités numériques. Tous ces risques peuvent entrainer une défiance des citoyens envers leurs administrations notamment dans les pays ne pouvant correctement assurer la protection des droits de leurs citoyens ou l’utilisation correcte de l’intelligence artificielle par leurs agents publics. Toutefois, l’OCDE démontre que le fait ne pas recourir à l’intelligence artificielle revient pour les pouvoirs publics à se priver des avantages de cette dernière et relève qu’ils devront nécessairement y avoir recours sans attendre que toutes les incertitudes qui y sont liées ne soient levées.
    Par ailleurs, l’OCDE remarque que les pouvoirs publics peinent à développer des outils d’intelligence artificielle adéquats. Les lacunes relatives à l’accès limité à des données de qualité, les faibles échanges de ces dernières entre les services, le manque de politiques concrètes en matière d’intelligence artificielle et l’insuffisance des mécanismes de suivi et d’évaluation sont autant d’obstacles qui empêchent le déploiement de l’intelligence artificielle par les pouvoirs publics.
    L’OCDE préconise donc l’adoption par les différents États de catalyseurs et des garde-fous destinés à réguler le recours à l’intelligence artificielle, associés à des mécanismes de dialogue centrés sur les usagers, impliquant les citoyens, la société civile et les entreprises.

Déclaration commune sur la gouvernance fiable des données pour l’IA : vingt autorités de protection des données s’engagent pour une IA innovante et protectrice de la vie privée

  • Le 23 septembre 2025, vingt autorités nationales de protection des données ont publié une déclaration commune dans laquelle elles s’engagent pour une intelligence artificielle innovante et protectrice de la vie privée. Par cette déclaration, les autorités signataires, au rang desquelles figure la CNIL, reconnaissent les avantages et opportunités que représente l’intelligence artificielle qui stimule l’innovation scientifique, l’économie et la société dans son ensemble. Elles relèvent toutefois que l’intelligence artificielle présente également de nombreux risques, notamment relatifs à la protection de la vie privée et celle des données. La déclaration commune met également en avant les risques de discrimination et de désinformation inhérents à l’intelligence artificielle.
    Pour les vingt autorités concernées, la confiance des citoyens implique que le déploiement de l’intelligence artificielle s’opère dans le strict respect des règles relatives à la protection des données et de la vie privée. C’est pourquoi la protection des données doit être prise en compte dès la phase de conception des systèmes d’intelligence artificielle et être assurée tout au long de leur vie grâce à l’adoption de mesures techniques et procédurales internes.
    Cette déclaration commune ne manque toutefois pas de mettre en évidence le fait que l’environnement actuel dans lequel se développe l’intelligence artificielle se caractérise par sa particulière complexité. En effet, la multiplicité de secteurs d’utilisation de l’intelligence artificielle (santé, éducation, sécurité publique), les différentes et nombreuses parties prenantes, le volume massif de données nécessaires et la rapidité des avancées technologiques rendent le contrôle des flux de données et le respect des exigences de transparence particulièrement ardus dans le domaine de l’intelligence artificielle.
    Les autorités impliquées s’accordent sur l’urgence d’assurer une sécurité juridique aux citoyens et aux entreprises et de permettre le développement de l’intelligence artificielle dans un cadre satisfaisant.
    La Déclaration commune sur la gouvernance fiable des données pour l’intelligence artificielle est ainsi l’occasion pour les autorités de protection de données concernées de prendre des engagements à cette fin : d’une part, clarifier les motifs légitimes de traitement des données dans le cadre de l’entraînement des systèmes d’intelligence artificielle, notamment via un échange d’informations sur les mesures de sécurité proportionnées et, d’autre part, assurer un suivi permanent des impacts de l’intelligence artificielle tout en limitant les incertitudes juridiques et en instaurant un cadre favorable à l’innovation dès lors que le traitement des données constitue une condition du développement et du déploiement de l’intelligence artificielle.
    Enfin, les différentes autorités signataires prennent acte de la nécessité, pour mener à bien ces différents engagements, de renforcer leurs relations et celles qu’elles entretiennent avec les autres autorités compétentes afin d’harmoniser les cadres applicables et, d’une manière générale, de renforcer les interactions entre les différents acteurs du secteur. (CNIL, traduction non officielle, 23 sept. 2025)

Marchés numériquesf

Le principe du pays d’origine prévu par la directive sur le commerce électronique

  • L’avocat général Monsieur Szpunar a présenté ses conclusions à la Cour de justice de l’Union européenne (CJUE) le 18 septembre 2025 dans les affaires jointes WebGroup Czech Republic (aff. C-188/24) et Coyote System (aff. C-190/24). Pour mémoire, le Conseil d’État a posé deux questions préjudicielles à la CJUE à la suite de la demande d’annulation des décrets pris par le législateur français dans le but d’interdire aux mineurs d’accéder à des sites pornographiques, et d’interdire de la signalisation de certains contrôles routiers pour les services d’aide à la conduite par géolocalisation.
    Devant le Conseil d’État, les sociétés tchèques WebGroup Czech et Coyote System ont soutenu que la législation française viole le principe du « pays d’origine » prévu par la directive sur le commerce électronique, car elle impose aux fournisseurs de services de la société de l’information établis dans un autre État membre des obligations plus strictes que celles prévues par la réglementation de leur pays d’origine, alors même que leurs activités relèvent du « domaine coordonné » par la directive, c’est-à-dire des services électroniques pour lesquels l’Union européenne a harmonisé les règles afin de garantir la libre prestation de services transfrontière. La question préjudicielle du Conseil d’État interroge la CJUE pour déterminer si l’obligation faite aux éditeurs de services de communication en ligne relève, précisément, du domaine coordonné de la directive, et si ce domaine couvre l’interdiction imposée aux services d’aide à la conduite.
    Dans ses conclusions, l’avocat général Szpunar propose une interprétation extensive du domaine coordonné de la directive sur le commerce électronique, incluant à la fois la protection des mineurs contre les contenus pornographiques et l’interdiction pour les services d’aide à la conduite par géolocalisation de rediffuser des messages permettant d’échapper aux contrôles routiers.
    Dans les deux affaires, ces mesures, bien qu’elles ne relèvent pas des matières spécifiquement harmonisées par la directive, restent dans le domaine coordonné et peuvent légalement être imposées par la France, sans violer le principe du pays d’origine ni entraver la libre prestation de services, à condition qu’elles respectent les exceptions prévues par les articles 3.4 et 3.5 de la directive, qui autorisent un État membre à déroger au principe du pays d’origine pour protéger l’ordre ou la sécurité publique, la sécurité routière ou certains intérêts publics essentiels, comme la protection des mineurs, et ce, sans violer la libre prestation de services. (CJUE, Concl. de l’avocat général dans les affaires jointes C-188/24, WebGroup Czech Republic et NKL Associates et C-190/24, Coyote System)

Refus de la Commission de suspendre plusieurs mesures d’interopérabilité imposées au système d’exploitation mobile iOS d’Apple au titre du règlement sur les marchés numériques (DMA)

  • La Commission européenne par une décision du 4 août 2025 (mise en ligne le 19 sept. 2025) a rejeté la demande de dérogation de la société Apple visant à suspendre plusieurs mesures d’interopérabilité imposées à son système d’exploitation mobile iOS sur le fondement du Digital Markets Act.
    En mars 2025, la Commission européenne a adopté une « Specification Decision » en vertu de l’article 6(7) du Digital Markets Act précisant les mesures que la société Apple doit mettre en œuvre afin de se conformer à son obligation d’interopérabilité avec les fournisseurs de services. Les mesures fixées dans cette décision font suite à un engagement approfondi avec Apple et aux contributions de tiers dans le cadre d’une consultation publique lancée le 18 décembre 2024. Ces mesures d’interopérabilité concernent neuf fonctionnalités du système iOS liées aux appareils connectés. Parmi ces fonctionnalités figurent notamment les notifications, les connexions Wi-Fi peer-to-peer, l’appairage, ou encore le basculement Bluetooth audio automatique (cf. panorama Dalloz du 17 mars 2025).
    Le 2 juin 2025, Apple a sollicité la Commission afin d’obtenir la suspension ou la modification de cinq des neuf mesures imposées en invoquant la « Waiver Clause », qui permet à Apple de demander la suspension des mesures fixés par la Commission en cas de circonstances exceptionnelles rendant l’application de ces mesures impossible. Cependant, Apple n’a pas, en invoquant ladite clause, proposé de mesure de substitution ou de modification.
    Selon Apple, les mesures prévues dans la « Specification Decision » constitueraient des atteintes à plusieurs de ses droits ainsi qu’à ceux de ses utilisateurs :
    - Interopérabilité : Apple soutient que ces mesures l’obligeraient à divulguer des éléments de ses technologies protégées par des brevets, droits d’auteur et secrets commerciaux, ce qui porterait atteinte à ses droits de propriété intellectuelle et compromettrait la protection de son savoir-faire industriel.
    - Connexions Wi-Fi automatiques : Apple craint que le partage d’informations sur les réseaux enregistrés ne constitue une violation de la vie privée des utilisateurs, en permettant la divulgation de données personnelles sans leur consentement.
    - Basculement audio automatique : Apple affirme que l’obligation de rendre sa technologie accessible nuirait à la fois à ses secrets commerciaux et brevets et, plus largement, à l’innovation, car la divulgation gratuite de ses technologies pourrait supprimer les incitations à innover, tant pour Apple que pour des tiers qui pourraient en tirer profit sans contrepartie.
    Dans sa décision du 4 août 2025, la Commission a considéré que les arguments avancés par Apple manquent de fondement et de précision, et rappelle que les mesures imposées par la « Specification Decision » visent uniquement à garantir un accès équivalent et non discriminatoire aux fonctionnalités concernées, conformément au Digital Markets Act. Elle souligne que ces questions ont déjà été examinées et rejetées lors de la procédure administrative du mois de mars dernier, faute de preuves tangibles d’une impossibilité technique ou juridique. La Commission estime enfin que les mesures critiquées sont conçues pour stimuler la concurrence et l’innovation, et que toute contestation de leur légitimité relève du tribunal compétent, saisi par Apple le 30 mai 2025.
    Ainsi, la Commission rejette intégralement les cinq demandes de dérogation formulées par Apple, jugeant que la société ne remplit pas les critères de la clause de dérogation : exceptionnalité, imprévisibilité, et impossibilité d’appliquer les mesures. Elle rappelle que la « Waiver Clause » ne permet ni de contester une décision déjà adoptée ni d’éluder les obligations de la « Specification Decision ». La société Apple est donc tenue de se conformer aux exigences d’interopérabilité dans les délais fixés, sous peine de sanctions. Apple pourra cependant de nouveau invoquer la « Waiver Clause », à condition qu’elles reposent sur de nouveaux éléments répondant aux critères susvisés. (Comm. européene, Décis. du 4 août, mise en ligne le 19 sept. 2025)

Accord sur la « prospérité technologique » conclu entre le Royaume-Uni et les États-Unis

  • Le 18 septembre 2025, à la suite de la visite du Président Donald Trump à Londres, le Royaume-Uni et les États-Unis ont conclu un accord sur la « prospérité technologique » (« Tech Prosperity Deal ») visant à renforcer la collaboration des deux pays dans des domaines clés tels que l’intelligence artificielle (IA), l’informatique quantique ou l’énergie nucléaire. Pour le Premier ministre britannique Keir Starmer, ce pacte marque un changement dans les relations entre les deux pays. L’objectif des deux États est de s’affirmer ensemble en tant que leaders mondiaux dans le domaine de l’innovation et de nouvelles technologies.
    Cet accord prévoit divers engagements financiers de la part des grandes entreprises technologiques américaines, consistant en un investissement de plus de 31 milliards de livres (environ 35 milliards d’euros) destiné au développement des infrastructures d’IA et de technologies avancées au Royaume-Uni. Ainsi :
    - Microsoft a annoncé un investissement de 22 milliards de livres au Royaume-Uni, notamment en vue de la construction du plus grand superordinateur du pays ;
    - Google, de son côté, a annoncé investir 5 milliards de livres sur deux ans, notamment pour ouvrir un nouveau centre de données et soutenir sa filiale Google DeepMind dans ses recherches en IA appliquée à la santé.
    - La société américaine NVIDIA, en partenariat avec la société britannique Nscale, implémentera 120 000 GPU (processeurs graphiques spécialisés – notamment utilisées pour entraîner les systèmes neuronaux des IA) dans le cadre du projet « Stargate UK », visant à créer une infrastructure d’IA de classe mondiale.
    Ces différents investissements devraient générer de nombreux emplois, notamment dans le Nord-Est de l’Angleterre, désigné comme une « AI Growth Zone » (zone de croissance de l’IA).
    L’un des objectifs principaux de cet accord est le développement de l’IA et de l’informatique quantique au profit de la recherche médicale. Il vise également à développer l’énergie nucléaire par le biais de la construction de nouvelles centrales et l’accélération de la recherche dans la technologie de fusion. Un autre point clé de l’accord est l’échange de talents et le développement de programmes de recherche conjoints. Par exemple, la société américaine CoreWeave prévoit de s’associer avec la société britannique DataVita. La société britannique Arm, collabore avec la société américaine NVIDIA, et la société américaine Salesforce s’engage à continuer de développer ses activités au Royaume-Uni. Ces différents rapprochements illustrent l’interdépendance croissante entre les industries technologiques des deux pays. Selon Jensen Huang, PDG de NVIDIA, le Royaume-Uni se trouve dans une position idéale pour devenir un acteur majeur dans le monde de l’IA, grâce à la convergence des talents, de la recherche et de l’industrie.

 

par Mélanie Clément-Fontaine, Professeur Université Paris-Saclay

© Lefebvre Dalloz