Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 29 septembre 2025

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 29 septembre.

Données personnelles

Limites du droit de rectification des données personnelles dans le cadre des évaluations de la MDPH

  • Le 30 septembre 2025, le Conseil d’État s’est prononcé sur l’étendue du droit de rectification prévu par l’article 16 du RGPD dans le cadre des fiches de synthèse établies par les MDPH. Mme A., bénéficiaire d’une prestation de compensation du handicap, contestait le refus de la MDPH des Pyrénées-Atlantiques de rectifier certaines données qu’elle jugeait inexactes ou incomplètes dans les rapports de visite à domicile réalisés entre 2015 et 2017. Après le rejet de ses demandes par le tribunal administratif de Pau puis par la cour administrative d’appel de Bordeaux, elle forma un pourvoi en cassation.
    Le Conseil d’État confirme la décision d’appel. Il rappelle que le droit de rectification ne s’applique qu’aux inexactitudes matérielles des données à caractère personnel, à condition que leur correction ne compromette pas la finalité du traitement. En revanche, il n’inclut pas les appréciations subjectives formulées par les membres de l’équipe pluridisciplinaire dans le cadre de leur évaluation du handicap.
    Ainsi, les fiches de synthèse n’ayant pas vocation à retracer l’ensemble du parcours administratif de la personne mais à décrire sa situation fonctionnelle, leur contenu ne pouvait être rectifié que pour des erreurs factuelles avérées. L’absence d’informations antérieures (reconnaissance du handicap ou AAH) n’affectait pas la finalité du traitement, et les jugements professionnels sur le type d’aide à accorder ne relèvent pas du droit de rectification.
    Cette décision précise la limite du droit à la rectification dans le champ médico-social, excluant les évaluations professionnelles de son périmètre, et renforce la distinction entre données factuelles et appréciations cliniques ou sociales au sein des traitements de données gérés par les MDPH. (CE 30 sept. 2025, n° 497566 B)

Contenu numérique

Wikipédia face au RGPD et au DSA : absence de violation retenue par le juge français

  • Le 19 septembre 2025, le Président du Tribunal judiciaire de Paris a jugé que la Wikimédia Foundation Inc., qui héberge Wikipédia, n’était responsable qu’aucune violation du RGPD ni du DSA et a consacré, face aux demandes de suppression ou de rectification d’une page Wikipédia, la prééminence du droit à l’information du public et de la liberté d’expression des contributeurs volontaires de l’encyclopédie libre.
    Le Président du Tribunal judiciaire de Paris a rendu un jugement dans le cadre d’une procédure accélérée au fond opposant un écrivain français à la société américaine à but non lucratif Wikimédia Foundation Inc., qui héberge l’encyclopédie en ligne Wikipédia.
    Le demandeur soutenait avoir subi un préjudice du fait du traitement illicite de ses données personnelles figurant sur la page Wikipédia qui lui est consacrée. Il a, en conséquence, assigné la Wikimédia Foundation en janvier 2025, invoquant la violation du Règlement général sur la protection des données (RGPD), du Règlement sur les services numériques (Digital Services Act, DSA), ainsi que de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).
    Il sollicitait, à titre principal, la suppression complète de la page le concernant ; à titre subsidiaire, la suppression de certains passages, et, à titre très subsidiaire, la rectification de données, la communication des informations d’identification des contributeurs, ainsi que l’allocation de dommages et intérêts.
    En défense, la Wikimédia Foundation a demandé au tribunal de déclarer l’ensemble des demandes irrecevables et de constater l’incompétence du Président du Tribunal judiciaire statuant selon la procédure accélérée au fond.
    Le tribunal a d’abord déclaré irrecevables les demandes fondées sur l’article 6, § 3, de la LCEN, estimant qu’elles excédaient la compétence du président du tribunal judiciaire statuant selon la procédure accélérée au fond. Ces demandes visaient à contraindre la Wikimédia Foundation à se conformer aux articles 14 (conditions générales), 16 (mécanisme de notification), 20 (système interne de traitement des réclamations) et 21 (règlement extrajudiciaire des litiges) du DSA, ainsi qu’à obtenir une indemnisation. Le tribunal a rappelé que l’article 6, § 3, de la LCEN n’a vocation qu’à permettre la prescription de mesures propres à prévenir ou faire cesser un dommage causé par un contenu en ligne, et non à en réparer les effets.
    Le tribunal s’est ensuite penché sur les moyens tirés de la violation du RGPD. Il a d’abord retenu que ce règlement était applicable à la Wikimédia Foundation, conformément à son article 3, et a qualifié cette dernière de responsable du traitement au sens de l’article 4, point 7, du RGPD. Il a ensuite jugé que le traitement des données personnelles opéré par la Wikimédia Foundation reposait sur une base légale valide, en vertu de l’article 6, § 1er, f) du RGPD, dès lors qu’il répondait à l’intérêt légitime de la fondation de communiquer des informations au public.
    S’agissant des données sensibles susceptibles de révéler les opinions politiques du demandeur, le tribunal a relevé qu’elles avaient été manifestement rendues publiques par ce dernier, ouvrant ainsi la voie à la dérogation prévue à l’article 9, § 2, e) du RGPD. Il a également rejeté la demande fondée sur le droit à l’effacement, en raison de l’exception liée à la liberté d’expression et d’information, prévue à l’article 17, § 3, a) du RGPD.
    Les demandes subsidiaires de rectification (RGPD, art. 16) et de limitation du traitement (RGPD, art. 18) ont également été écartées, le demandeur n’ayant pas démontré l’inexactitude des données, lesquelles, en raison de leur caractère sourcé et vérifiable, ont été jugées exactes et neutres. Enfin, la demande de communication des données d’identification du contributeur a été rejetée, le tribunal considérant qu’elle n’était pas justifiée par le préjudice allégué et qu’elle porterait une atteinte disproportionnée tant au droit au respect de la vie privée (Conv. EDH, art. 8) qu’à la liberté d’expression (Conv. EDH, art. 10).
    En conclusion, le tribunal a rejeté l’ensemble des demandes de l’écrivain, jugeant qu’aucune violation du RGPD, du DSA ou de la LCEN n’était caractérisée et considérant que les données litigieuses étant publiques, exactes et sourcées, la liberté d’expression et le droit à l’information du public devaient prévaloir sur les droits invoqués par le demandeur au titre du RGPD. (TJ Paris, 19 sept. 2025, n° 25/51051)

Plateforme

SHEIN face aux Principes directeurs de l’OCDE : PCN Communiqué final du 18 septembre 2025

  • Alors que de nombreux médias relayaient l’annonce par la société SHEIN de l’ouverture prochaine de plusieurs boutiques physiques en France, le Point de contact national français (PCN) – organe chargé de la mise en œuvre des Principes directeurs de l’OCDE à l’intention des entreprises multinationales – a publié, le 18 septembre 2025, son communiqué final concernant la société SHEIN, à la suite d’une saisine déposée en juin 2023 par deux députés français. Le PCN constate que le modèle économique de l’entreprise est non conforme aux principes directeurs de l’OCDE en matière de conduite responsable des entreprises (respect du droit national), de devoir de diligence, de respect des droits humains, de protection de l’environnement et des intérêts des consommateurs.
    Le PCN rappelle à SHEIN son obligation de se conformer aux Principes directeurs de l’OCDE et de respecter le droit français, européen et chinois. Il souligne notamment que l’entreprise n’a pas ratifié plusieurs conventions de l’OIT, renforçant les inquiétudes relatives à la protection des droits humains et des travailleurs.
    En matière de transparence, le PCN relève le refus explicite de SHEIN de lui transmettre des informations financières et de gouvernance, jugeant les données publiées en 2023 – notamment le rapport de durabilité – insuffisantes pour valuer les risques liés à ses activités. Il recommande en conséquence une communication financière complète (résultats, structure du capital, droits de vote).
    S’agissant du respect des droits fondamentaux, le PCN estime que le Code de conduite des fournisseurs de SHEIN présente des lacunes structurelles, notamment dans la prévention du travail des enfants, le temps de travail, la rémunération et la liberté d’association.
    Sur le plan environnemental, il constate l’absence de cartographie des risques alors que les émissions de gaz à effet de serre ont doublé entre 2022 et 2023.
    Le PCN conclut en formulant plusieurs recommandations afin que SHEIN renforce la transparence, la due diligence et le respect des normes internationales, dans une logique de coopération multipartite.

Écologie

Quand la lutte contre les déchets rencontre la régulation numérique

  • La précédente directive, dite « directive-cadre relative aux déchets », fixait les principes de prévention, de réutilisation et de recyclage, mais sans objectifs chiffrés pour le gaspillage alimentaire ni cadre spécifique pour les textiles. Pour combler ces lacunes, la Commission a proposé en 2023 une révision adoptée formellement par le Parlement et le Conseil le 10 septembre 2025.
    Le nouveau texte instaure pour la première fois des objectifs contraignants à atteindre d’ici le 31 décembre 2030 :
    – 10 % de réduction des déchets alimentaires issus de la transformation et de la fabrication ;
    – 30 % par habitant pour les déchets alimentaires provenant du commerce, de la restauration et des ménages.
    La directive crée également un régime de responsabilité élargie des producteurs (REP) dans le secteur textile, imposant aux producteurs, y compris les microentreprises, de financer la collecte, le tri, le réemploi et le recyclage des produits. Les États membres pourront moduler les contributions selon la durabilité et la durée de vie des textiles.
    Cette réforme a également des incidences notables dans le secteur du numérique. Elle encourage la mise en place d’outils technologiques de traçabilité et de gestion des données environnementales, tels que les systèmes numériques de suivi des flux de déchets, l’étiquetage intelligent ou les plateformes de transparence destinées à faciliter le reporting des entreprises. Les acteurs du commerce en ligne, notamment les plateformes de vente de vêtements ou d’articles alimentaires, sont directement concernés : ils devront renforcer la transparence sur l’origine, la durabilité et la fin de vie des produits proposés, en cohérence avec les exigences du Digital Services Act (DSA). La directive contribue ainsi à rapprocher les politiques environnementales et numériques, en intégrant la donnée et la traçabilité au cœur des stratégies de conformité.
    La directive entrera en vigueur le 16 octobre 2025, et les États membres devront la transposer d’ici le 17 juin 2027. (Dir. (UE) 2025/1892 du Parlement européen et du Conseil, 10 sept. 2025, modifiant la directive 2008/98/CE relative aux déchets)

 

par Mélanie Clément-Fontaine, Professeur Université Paris-Saclay

© Lefebvre Dalloz