Panorama rapide de l’actualité « Technologies de l’information » des semaines du 25 août au 8 septembre 2025

Données personnelles

Portée de la notion de « données à caractère personnel » dans le contexte d’un transfert de données pseudonymisées à des tiers

  • Dans l’affaire C-413/23 P, la Cour de justice de l’Union européenne a annulé l’arrêt du Tribunal et renvoyé l’affaire devant ce dernier. Le Contrôleur européen de la protection des données (CEPD) contestait la décision du Conseil de résolution unique (CRU) concernant la protection des données personnelles lors de la procédure de dédommagement des actionnaires et créanciers de Banco Popular Español. Le CEPD estimait que le CRU avait violé le règlement (UE) 2018/1725 en ne fournissant pas aux personnes concernées l’information sur les destinataires de leurs données personnelles à qui ces données avaient été transmises sous forme pseudonymisée.
    La Cour a précisé que des données peuvent être considérées comme personnelles dès lors qu’elles permettent, directement ou indirectement, d’identifier une personne, même si elles ont été pseudonymisées. Elle a insisté sur le fait que la pseudonymisation réduit certes le risque d’identification, mais ne supprime pas le caractère personnel des données si le responsable du traitement ou un tiers disposant d’informations complémentaires peut les réidentifier. La Cour a également souligné que cette analyse doit tenir compte de toutes les circonstances, notamment des mesures techniques et organisationnelles mises en place pour protéger les données, ainsi que de la facilité avec laquelle la réidentification pourrait intervenir.
    En conclusion, la Cour a rappelé que le règlement (UE) 2018/1725 impose au responsable du traitement l’obligation d’informer les personnes concernées dès la collecte des données sur la finalité du traitement et sur les destinataires éventuels, y compris en cas de transmission à des tiers. Cette obligation vise à permettre aux personnes concernées d’exercer pleinement leurs droits à la protection de leurs données. Le renvoi de l’affaire devant le Tribunal doit désormais déterminer si le CRU a effectivement respecté cette exigence. (CJUE, 4 sept. 2025, C-413/23, CEPD c/ CRU)

Intelligence artificielle

Le Conseil du numérique devient Conseil de l’IA et du numérique

  • Le 4 septembre 2025, un décret a modifié le décret n° 2017-1677 du 8 décembre 2017 relatif au Conseil national du numérique, une commission administrative à caractère consultatif créée par le décret n° 2011-476 du 29 avril 2011.
    Entré en vigueur le 11 décembre 2017, le décret du 8 décembre 2017 a élargi le champ de compétence du Conseil national du numérique, qui était jusqu’alors chargé d’étudier les questions relatives au numérique, en particulier les enjeux et les perspectives de la transition numérique. Par ce décret, le Conseil national du numérique s’est vu confier des missions d’information et de conseil du gouvernement dans l’élaboration, la conduite et l’évaluation des politiques et de l’action publique, ainsi que de contribution à l’élaboration des positions de la France aux niveaux européen et international. En outre, ce décret a modernisé la composition et le fonctionnement du Conseil national du numérique, ce dernier comprenant, outre deux députés et deux sénateurs désignés par leur assemblée respective, dix-sept personnalités issues du secteur économique, du secteur académique ou impliquées dans le développement du numérique au niveau local, national ou européen.
    Le décret n° 2025-902 du 4 septembre 2025 apporte des modifications à ce dispositif afin de tenir compte des évolutions rapides liées à l’intelligence artificielle. À ce titre, le texte a transformé le Conseil national du numérique (CNN) en Conseil de l’intelligence artificielle et du numérique (CIAN). Cette commission, placée auprès du ministre chargé de l’intelligence artificielle et du numérique, a désormais pour mission d’étudier toute question relative au développement du numérique et de l’intelligence artificielle et à leur impact sur la société, l’économie et les territoires.
    Quant à la composition du CIAN, celle-ci est réduite à dix-sept membres. Parmi ces derniers, figurent dorénavant un membre du Comité consultatif national d’éthique du numérique, un membre du Conseil d’analyse économique ainsi qu’un membre du Conseil économique, social et environnemental.
    Une autre nouveauté porte sur le fonctionnement du CIAN: ce dernier doit proposer son programme de travail prévisionnel au ministre chargé de l’intelligence artificielle et du numérique pour recueillir ses orientations stratégiques. Il doit également consulter le haut-commissaire à la stratégie et au plan sur son programme de travail. (Décr. n° 2025-902 du 4 sept. 2025, relatif au Conseil de l’intelligence artificielle et du numérique)

Contenus numériques

Lutte contre la désinformation russe

  • L’Union européenne a renforcé son régime de sanctions, notamment par un critère dit « IT » visant les entités du secteur russe des technologies de l’information disposant d’une licence délivrée par le FSB ou relative aux armes et équipements militaires (Art. 2, § 1er, ss i), de la décision (PESC) 2023/1218 du Conseil, du 23 juin 2023, modifiant la décision 2014/145/PESC concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendant ce de l’Ukraine).
    Sur ce fondement, le Conseil a inscrit et maintenu Positive Group PAO, société mère d’un conglomérat actif dans la cybersécurité et détentrice d’une licence administrée par le FSB, sur la liste des entités sanctionnées. Contestant cette inscription, l’entreprise a saisi le Tribunal de l’Union européenne.
    Par son arrêt, le Tribunal rejette le recours. Il juge que le critère IT respecte les principes de sécurité juridique et de prévisibilité, en définissant de façon claire et objective la catégorie visée ; que ce critère n’est pas disproportionné, car il est nécessaire pour accroître la pression sur les autorités russes et limiter leur capacité à mener des actions hostiles, notamment en matière de guerre de l’information ; qu’il ne porte pas une atteinte excessive à la liberté d’entreprise, au regard des objectifs essentiels poursuivis.
    En outre, le Tribunal relève que le Conseil a pu légitimement considérer que Positive Group PAO exerçait une influence déterminante sur sa filiale détentrice de la licence FSB, de sorte que les conditions du critère IT étaient remplies.
    En conséquence, le Tribunal confirme l’inscription et le maintien de Positive Group PAO sur la liste des mesures restrictives. (TUE, 10 sept. 2025, T-573/23, Positive Group PAO c/ Conseil de l’UE)

Pour la récolte des données publiquement accessibles sur les plateformes en ligne : mise en œuvre des dispositions la loi sur l’espace numérique

  • Afin de renforcer la capacité des autorités à analyser le fonctionnement des plateformes et services numériques, un décret du 27 août 2025 vient mettre en œuvre les dispositions de la loi SREN en élargissant les missions du Pôle d’expertise de la régulation numérique et en encadrant les méthodes de collecte automatisée de données publiquement accessibles.
    Le 27 août 2025, le décret n° 2025-856 modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation a été pris par le Premier ministre pour mettre en œuvre les dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (loi SREN).
    Pour rappel, le décret du 21 avril 2022 a été pris pour l’application de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique. Cet article, qui a été modifié par la loi SREN, prévoit que les autorités indépendantes qui interviennent dans la régulation de toute personne proposant un service de plateforme essentiel ou un service de communication au public en ligne reposant sur le traitement de contenus peuvent recourir à l’expertise et à l’appui d’un service administratif de l’État. Dans ce cadre, le service administratif peut mener des activités d’expérimentation et de recherche publique et mettre en œuvre auprès des opérateurs des méthodes de collecte automatisée de données publiquement accessibles.
    La publication du décret de 2022 a permis de désigner le Pôle d’expertise de la régulation numérique (PEReN), créé par le décret n° 2020-1102 du 31 août 2020, en tant que service de l’État pouvant mettre son expertise à la disposition des autorités indépendantes et de présenter la liste des autorités pouvant recourir à une telle expertise, dont l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) et la Commission nationale de l’informatique et des libertés (CNIL). Ce texte a également précisé les conditions permettant d’assurer que les collectes de données publiquement accessibles sur les sites internet des opérateurs de plateforme en ligne soient strictement nécessaires et proportionnées.
    Entré en vigueur le 30 août 2025, le décret n° 2025-856 du 27 août 2025 a ainsi modifié le décret du 21 avril 2022 pour tenir compte des dispositions de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 tel que modifié par la loi SREN. Dans sa version initiale, l’article 36 faisait uniquement référence aux « opérateurs de plateforme en ligne définis à l’article L.111-7 du code de la consommation » et ne permettait pas au service administratif de mettre en œuvre auprès des opérateurs des méthodes de collecte automatisée de données publiquement accessibles dans le cadre de ses activités de recherche publique.
    Les modifications apportées ont permis d’élargir son champ d’application. Notamment, le chapitre II de ce texte fait désormais référence aux activités de recherche publique, en plus des activités d’expérimentation, qui se trouvent ajoutées parmi les activités que peut effectuer le PEReN. Par ailleurs, le PEReN a dorénavant la possibilité de mettre en œuvre auprès des opérateurs des méthodes de collecte automatisée de données publiquement accessibles dans le cadre de ses activités de recherche publique. Enfin, conformément à la loi SREN, les termes « plateformes en ligne des opérateurs définis à l’article L.111-7 du code de la consommation » ont été remplacés par « les services numériques des opérateurs mentionnés aux premier et septième alinéas du I de l’article 36 » de la loi n° 2021-1382 du 25 octobre 2021. Cette harmonisation permet une cohérence avec les textes européens, notamment le Digital Services Act (DSA), et renforce la base juridique du recours aux données publiques pour la régulation du numérique. (Décr. n° 2025-856 du 27 août 2025 modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation)

DSA : Précisions sur procédure de soumission des engagements des fournisseurs de plateformes en ligne auprès de la CNIL

  • Le décret n° 2025-891 du 5 septembre 2025, et en particulier son article 38-1, prévoit une procédure applicable aux engagements proposés par les fournisseurs de plateformes relevant du règlement 2022/2065 sur les services numériques (DSA) modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés sur les services numériques.
    Le fournisseur de plateformes en ligne doit soumettre au président de la CNIL ses propositions d’engagements, avec une description détaillée de la nature et de la durée de ces dernières ainsi qu’une explication motivée de la manière dont ses engagements doivent permettre de garantir la conformité aux obligations imposées par le règlement. Enfin, il doit transmettre un calendrier détaillé de la mise en œuvre de ces engagements.
    En réponse, le président de la CNIL peut exiger tous documents ou informations nécessaires à l’examen des engagements. Ensuite, lorsque le dossier est complet, il en informe le fournisseur de plateformes via un accusé de réception. Le président de la CNIL statue alors sur la proposition dans un délai de quatre mois avec possible prolongation de deux mois.
    À l’issue de ces délais, le silence vaut rejet. Si le président de la commission répond à la proposition, il peut accepter les engagements et il peut les rendre en tout ou partie contraignants pour une période déterminée qui ne peut excéder celle proposée par le fournisseur. Il peut également refuser les engagements du fournisseur en l’informant des motifs de sa décision. En tout état de cause, la décision du président de la CNIL doit être notifiée au fournisseur via un moyen permettant d’apporter la preuve de la date de cette notification.
    L’article 47-3 du même décret prévoit qu’en cas de manquement grave au DSA, la formation restreinte peut adopter une injonction provisoire pour mettre fin au manquement, assortie d’une astreinte journalière. Le mis en cause dispose d’un délai de 8 jours pour présenter ses observations (15 jours pour les territoires ultra-marins), garantissant ainsi le respect du principe du contradictoire. (Décr. n° 2025-891 du 5 sept. 2025 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

 

par Mélanie Clément-Fontaine, Professeur Université Paris-Saclay

© Lefebvre Dalloz