Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 6 octobre 2025
Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 6 octobre.
Données personnelles
L’ Articulation entre la directive ePrivacy et le RGPD (cookies)
- Le Conseil d’État, dans sa décision du 7 octobre 2025, Yahoo EMEA Limited, était saisi d’un recours formé contre une sanction de 10 millions d’euros infligée par la CNIL pour des manquements à l’article 82 de la loi Informatique et Libertés, relatif au dépôt de cookies sans consentement préalable et à la difficulté de retrait de ce consentement. La société requérante contestait la compétence de la CNIL, estimant que, son siège européen étant situé en Irlande, seule l’autorité irlandaise devait intervenir en vertu du mécanisme du guichet unique prévu par le RGPD.
Le Conseil d’État rejette cette argumentation et confirme la compétence de la CNIL, tant matérielle que territoriale. Il rappelle que l’article 82 de la loi de 1978 transpose l’article 5, § 3 de la directive 2002/58/CE dite ePrivacy, laquelle institue un régime juridique autonome par rapport au RGPD. En vertu de son article 15 bis, la mise en œuvre et le contrôle de cette directive relèvent des autorités nationales, excluant l’application du mécanisme de coopération transfrontalière instauré par l’article 56 du RGPD. Le Conseil d’État considère, dès lors, qu’il n’existe aucun doute raisonnable justifiant une question préjudicielle à la Cour de justice de l’Union européenne.
Sur le fond, la Haute juridiction valide la constatation des manquements reprochés à Yahoo EMEA Limited : dépôt de cookies sans consentement préalable et obstacles dissuasifs au retrait du consentement (notamment la perte d’accès à Yahoo Mail). Elle estime que la sanction de 10 millions d’euros, au regard de la portée, de la gravité et de la durée des manquements, n’est pas disproportionnée.
Cette décision, appelée à faire référence, clarifie l’articulation entre la directive ePrivacy et le RGPD, en réaffirmant que la première, en tant que lex specialis, confère une compétence propre aux autorités nationales pour la régulation des cookies et autres traceurs. (CE 7 oct. 2025, n° 494300, Yahoo EMEA Limited)
Contenus numériques
Cloud, l’Arcep précise les standards d’interopérabilité et de portabilité 25 septembre 2025
- Le 2 octobre 2025, l’Arcep a publié une recommandation destinée à encadrer les pratiques des fournisseurs de services cloud en matière d’interopérabilité et de portabilité. Ce texte, sans valeur normative, s’inscrit dans la mise en œuvre du Data Act, entré en vigueur le 12 septembre 2025, et de la loi SREN du 21 mai 2024, qui confie à l’Arcep la mission de préciser les obligations applicables aux prestataires cloud.
Élaborée à l’issue de deux consultations publiques (oct.-déc. 2024 et juin-juill. 2025), la Recommandation vise à faciliter le changement de fournisseur et le recours au multi-cloud. L’Arcep y invite les fournisseurs à renforcer la transparence des offres (degré d’interopérabilité, formats de transfert, procédures de résiliation, documentation des API) et à garantir la stabilité des interfaces.
Elle recommande notamment l’adoption de la spécification OpenAPI ou d’un standard équivalent, ainsi qu’un préavis minimal de douze mois avant toute mise à jour non rétrocompatible, sauf impératif de sécurité.
Si elle n’a pas de portée obligatoire, cette Recommandation constitue une référence d’interprétation utile pour les acteurs du secteur et préfigure les futures normes européennes d’interopérabilité prévues par le Data Act. (Acerp, Recomm., 25 sept. 2025)
Lutte contre la fraude aux streams
- Le Syndicat national de l’édition phonographique (SNEP) a saisi le Tribunal judiciaire de Paris afin d’obtenir le blocage de sites proposant des services de fausses écoutes sur les plateformes de streaming (justanotherpanel.com et buybestsuperfans.com). Ces services, hébergés par OVH via un client intermédiaire, permettaient d’augmenter artificiellement le nombre d’écoutes et de fausser la rémunération des ayants droit.
Le tribunal relève que ces pratiques causent un dommage certain aux producteurs phonographiques et à l’intérêt collectif de la profession. Sur le fondement de l’article 6, III, de la LCEN, il ordonne à OVH et à M. K.O. de faire cesser la fourniture de services aux sites concernés et d’en bloquer l’accès depuis la France, pour une durée de dix-huit mois.
Toutefois, en application de l’article 8 du Digital Services Act (DSA), le tribunal précise qu’il ne peut être imposé aux hébergeurs aucune obligation générale de surveillance. Les mesures prononcées doivent respecter un équilibre entre la protection des droits des titulaires et la liberté d’entreprendre des intermédiaires.
La juridiction rejette ainsi les demandes excédant ces limites, tout en confirmant l’obligation de coopération des hébergeurs pour faire cesser des atteintes manifestement illicites. (TJ Paris, 3e ch., 1re sect., 2 oct. 2025, SNEP c/ OVH et M. K.O., n° 24/10705)
Désactivation d’un compte Instagram pour apologie du terrorisme : absence d’abus de Meta
- La Cour d’appel de Paris a confirmé la décision du juge des référés ayant refusé d’ordonner la réactivation d’un compte Instagram désactivé par Meta Platforms Ireland Ltd pour violation de ses conditions d’utilisation et de sa politique « Organismes et individus dangereux » (OID).
Le titulaire du compte, suivi par plus d’un million d’abonnés, contestait la mesure, invoquant un caractère arbitraire et abusif de la désactivation au regard du code de la consommation et une atteinte à sa liberté d’expression protégée par l’article 10 de la Convention européenne des droits de l’homme.
La cour relève que les contenus diffusés valorisaient les actions du Hamas, organisation reconnue comme terroriste par l’Union européenne, sans contextualisation ni finalité informative, et constituaient ainsi une violation caractérisée des règles de la plateforme.
Elle juge que la clause autorisant la désactivation sans préavis ne crée aucun déséquilibre significatif au sens des articles L. 212-1 et R. 212-2 du code de la consommation et constitue une sanction légitime d’une inexécution contractuelle au sens de l’article 1224 du code civil.
Enfin, la cour estime que la mesure de désactivation ne porte pas atteinte de manière disproportionnée à la liberté d’expression et relève de la liberté contractuelle de Meta, exercée dans un but de prévention des contenus apologétiques ou violents. (Paris, pôle 1 - ch. 3, 26 sept. 2025, n° 24/17222)
par Mélanie Clément-Fontaine, Professeure de droit privé
© Lefebvre Dalloz