- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article
Panorama de l’actualité « Technologies de l’information » des semaines des 12, 17 et 24 février 2025
Panorama de l’actualité « Technologies de l’information » des semaines des 12, 17 et 24 février 2025
Sélection de l’actualité « Technologies de l’information » marquante des semaines des 12, 17 et 24 février.
Données personnelles
Donnée pseudonymisée n’est pas donnée anonymisé (usage publicitaire) : le moteur de recherche QWANT est rappelé à l’ordre par la CNIL
-
Le 11 février 2025, la CNIL a adressé à la société QWANT, moteur de recherche français, un rappel à ses obligations légales, estimant que les données traitées dans le cadre de la vente de ses espaces publicitaires via Microsoft constituent des données à caractère personnel, et non des données anonymes. L’enquête avait été initiée en mars 2019 à la suite d’une plainte portant sur le traitement des données des utilisateurs et la conformité des pratiques du moteur de recherche avec le RGPD.
Selon QWANT, les données collectées et transmises à Microsoft, notamment l’adresse IP tronquée pour la constitution d’un identifiant, ne relevaient pas de la qualification de données à caractère personnel, excluant ainsi l’application du RGPD. Toutefois, la CNIL a estimé que ces informations, bien que pseudonymisées, n’étaient pas véritablement anonymisées, dès lors qu’elles permettent toujours une réidentification indirecte des utilisateurs. En conséquence, la société aurait dû se conformer aux obligations légales en matière de transparence et d’information des utilisateurs, conformément aux articles 12 et 13 du RGPD.
Plutôt que de prononcer une sanction financière, la CNIL a opté pour un rappel aux obligations légales, qui constitue une mesure correctrice destinée à encadrer et clarifier les pratiques d’un organisme en vue d’assurer sa mise en conformité au RGPD (RGPD, art. 58, § 2 pt b)). Ce choix s’explique notamment par l’absence d’intentionnalité dans le manquement reproché à QWANT, qui avait mis en place un système visant à limiter la collecte de données personnelles et qui ne recourait qu’à des publicités contextuelles, fondées sur les recherches effectuées par les utilisateurs, sans profilage de ces derniers.
Par ailleurs, les données transmises à Microsoft étaient essentiellement techniques et non utilisées à des fins de suivi individualisé. En outre, l’entreprise avait engagé des démarches de mise en conformité dès 2020, en modifiant sa politique de confidentialité afin d’inclure la mention des données « pseudonymes » et d’expliciter la finalité publicitaire du traitement. La CNIL a également tenu compte de la bonne foi et de la coopération de QWANT tout au long de l’enquête ainsi que des corrections déjà apportées avant la décision.
Évaluation de crédit automatisée : la personne concernée a droit à ce qu’on lui explique comment la décision a été prise à son égard
-
Dans son arrêt du 27 février 2025, la Cour de justice de l’Union européenne, saisie à titre préjudiciel, a précisé l’étendue du droit d’accès des personnes concernées aux informations relatives aux décisions automatisées fondées sur le profilage, conformément à l’article 15, §1, sous h), du RGPD. La Cour a jugé que ce droit implique une explication intelligible et pertinente de la logique sous-jacente à la prise de décision, permettant ainsi à la personne concernée de comprendre quelles données personnelles ont été utilisées et de quelle manière elles ont influencé l’évaluation effectuée. Cette obligation s’inscrit dans le cadre de l’exigence de transparence imposée par le RGPD.
L’affaire portait sur le refus d’un opérateur de téléphonie mobile autrichien de conclure un contrat avec un client, sur la base d’une évaluation automatisée de sa solvabilité réalisée par la société Dun & Bradstreet Austria. L’autorité autrichienne de protection des données a estimé que cette dernière n’avait pas respecté ses obligations en ne fournissant pas une explication suffisante sur le fonctionnement du processus de scoring. La Cour a confirmé que l’opérateur devait fournir une explication concrète et compréhensible, excluant la simple divulgation d’un algorithme ou d’une formule mathématique, et que l’intéressé devait pouvoir identifier comment ses données avaient été prises en compte dans l’évaluation.
En outre, la CJUE a précisé que le droit d’accès garanti par le RGPD devait être mis en balance avec la protection des secrets d’affaires et des données personnelles de tiers, conformément à la directive (UE) 2016/943 sur la protection des informations commerciales non divulguées. Toutefois, elle a souligné que cette pondération ne saurait conduire à une exclusion générale et automatique du droit d’accès en raison d’un secret d’affaires invoqué par le responsable du traitement. En cas de conflit, l’autorité de contrôle ou la juridiction nationale compétente est chargée d’arbitrer cette mise en balance en tenant compte du principe de proportionnalité.
Cet arrêt s’inscrit dans le cadre plus large d’une jurisprudence de la CJUE visant à renforcer les garanties offertes aux personnes concernées lors de traitements de données automatisés : Il clarifie le niveau d’information devant être communiqué et renforce le droit à une explication intelligible des décisions algorithmiques et impose aux entreprises d’adopter une approche plus transparente quant à l’utilisation des données personnelles. (CJUE 27 févr. 2025, aff. C-203/22, Dun & Bradstreet Austria)
La notion d’entreprise au sens de l’article 83 du RGPD (calcul des amendes)
-
Le 13 février 2025, la CJUE a rendu un arrêt dans l’affaire C-383/23 apportant une clarification sur la définition de la notion d’« entreprise » prévue par l’article 83 RGPD qui encadre les amendes administratives applicables en cas de violation du règlement.
Cette décision a été rendue dans le prolongement d’une procédure engagée au Danemark par l’autorité nationale de protection des données contre la société ILVA A/S, filiale du groupe Lars Larsen, pour manquements à ses obligations de conservation des données à caractère personnel. Plus précisément, la question posée portait sur l’étendue de la responsabilité économique d’une entreprise sanctionnée, et en particulier sur la possibilité d’inclure, dans le calcul de l’amende mise à la charge de cette entreprise, le chiffre d’affaires de l’ensemble du groupe auquel elle appartient.
Dans sa décision, la Cour a précisé que la notion d’« entreprise » mentionnée à l’article 83 du RGPD doit être interprétée conformément au droit de la concurrence, en particulier aux articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE). Selon cette approche, une entreprise doit être considérée comme une entité exerçant une activité économique, indépendamment de son statut juridique, et qui peut être constituée de plusieurs personnes physiques ou morales. Selon cette définition, une amende infligée à une société pour violation du RGPD pourrait ainsi être calculée sur la base du chiffre d’affaires global du groupe auquel appartient cette société, et non uniquement sur la base de son chiffre d’affaires.
C’est le principe que consacre cet arrêt et selon lequel les amendes administratives imposées en vertu du RGPD doivent être dissuasives et proportionnées à la puissance économique réelle de l’entité fautive. Cette interprétation vise à éviter qu’une structuration interne des entreprises ne permette d’atténuer artificiellement le montant des amendes, réduisant ainsi leur portée dissuasive.
Cette décision renforce considérablement le pouvoir des autorités de protection des données dans l’application du RGPD, puisque ces dernières peuvent désormais imposer des sanctions financières plus lourdes et proportionnées à la capacité économique réelle des groupes d’entreprises. (CJUE 13 févr. 2025, aff. C-383/23)
Notion de responsable de traitement appliquée à une entité administrative auxiliaire au service d’un gouvernement régional (RGPD, art. 4)
-
Par sa décision du 27 février 2025 dans l’affaire C-638/23, la Cour de justice de l’Union européenne confirme sa jurisprudence relative aux entités administratives.
Dans cette, affaire, l’autorité de contrôle autrichienne a considéré qu’une entité administrative auxiliaire au service du gouverneur et du gouvernement du Land du Tyrol, appelé l’Office, a procédé à un traitement illicite de données personnelles dans le cadre de mesures destinées à lutter contre la pandémie de COVID-19. Le tribunal administratif fédéral ayant rejeté le recours de l’Office, ce dernier a introduit un recours en Revision contre ce jugement devant le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi.
La CJUE confirme que l’absence de personnalité juridique et de capacité juridique propre d’une entité administrative auxiliaire au service d’un gouvernement régional n’empêche pas cette dernière d’être qualifiée de responsable de L’entité est responsable de traitement dès lors que détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien si ceux-ci sont déterminés par le droit national. Lorsqu’une telle détermination est effectuée par le droit national, il convient alors de vérifier si ce droit désigne le responsable du traitement ou prévoit les critères spécifiques applicables à sa désignation de responsable de traitement (CJUE 11 janv. 2024, État belge [Données traitées par un journal officiel], aff. C-231/22, Dalloz actualité, 24 janv. 2024, obs. M. Clément-Fontaine). La Cour précise qu’en vertu de l’article 45 du RGPD, quand la réglementation nationale détermine l’étendue du traitement des données à caractère personnel dont cette entité est désignée responsable, il n’est pas nécessaire que ce législateur ait énuméré, de manière exhaustive, toutes les opérations de traitement pour lesquelles ladite entité est ainsi désignée (pt 39).
De plus, la Cour confirme qu’il n’est pas nécessaire que cette entité exerce une influence sur la détermination des finalités et des moyens de ce traitement. Elle peut être désignée par le législateur de responsable de traitement alors même qu’elle n’exerce aucun contrôle sur les données à caractère personnel qu’elle est amenée à traiter (CJUE 11 janv. 2024, préc.). La Cour précise que la personne concernée par le traitement peut adresser ses demandes à l’entité administrative désignée par le législateur comme à toute autre entité qu’elles considèrent comme responsable ou conjointement responsable du traitement de ses données à caractère personnel en raison de l’influence que cette autre entité a exercée sur la détermination des finalités et des moyens du traitement en question (pt 48). (CJUE 27 févr. 2025, aff. C-638/23)
La Commission irlandaise de la protection des données présente un projet de décision sur l’enquête sur TikTok (RGPD, art. 60)
-
Le 21 février 2025, la Commission irlandaise de protection des données (DPC) a soumis aux autres autorités européennes de protection des données un projet de décision dans le cadre de l’enquête sur TikTok qu’elle a menée. Cette enquête, ouverte en 2021, concerne plusieurs aspects du traitement des données personnelles des utilisateurs de la plateforme et notamment les transferts de données hors de l’Union européenne.
Plus précisément, l’enquête de la DPC comporte deux volets principaux. Le premier porte sur la conformité de TikTok avec ses obligations de transparence et de protection des données des mineurs, en particulier pour les utilisateurs de moins de 18 ans. Le second volet est relatif à la légalité des transferts de données personnelles vers des pays tiers, en particulier vers la Chine et leur conformité avec le RGPD.
Ces investigations s’inscrivent dans le cadre du mécanisme de coopération et de cohérence entre les autorités européennes de protection des données, prévu aux articles 60 et suivants du RGPD, qui instaurent une procédure d’évaluation collective des décisions prises par une autorité-chef de file, lorsqu’un traitement de données présente un caractère transfrontalier.
Conformément à l’article 60 du RGPD, le projet de décision de la DPC doit maintenant être examiné par les autres autorités européennes de protection concernées. Celles-ci disposent d’un délai d’un mois pour soumettre leurs observations ou objections. En cas de désaccord persistant, la procédure prévoit une intervention du Comité européen de la protection des données (CEPD), en application de l’article 65 du RGPD.
L’issue de cette enquête pourrait avoir des conséquences significatives pour TikTok, notamment en matière de sanctions financières. Le contenu exact du projet de décision n’a pas été rendu public à ce stade, mais cette procédure s’inscrit dans un renforcement du contrôle de TikTok par les autorités européennes de protection des données.
Intelligence artificielle
Comment concilier IA et écologie ? : une note de position du ministère de la Transition écologique
-
L’INRIA (Institut national de recherche en sciences et technologies du numérique) et le ministère de la Transition écologique, de la Biodiversité, de la Forêt, de la Mer et de la Pêche ont publié, dans le courant du mois de février 2025, une note de position présentant les grands défis à relever pour améliorer la performance environnementale de l’Intelligence Artificielle (IA). Ce document résulte d’une coopération entre 36 partenaires, incluant d’importants acteurs industriels, des chercheurs éminents, ainsi que des ONG et des organisations internationales.
Le développement rapide de l’IA soulève des préoccupations croissantes quant à son impact environnemental. Alors que l’IA peut contribuer à la transition écologique, notamment en optimisant la consommation énergétique et en améliorant la modélisation climatique, son déploiement intensif entraîne une consommation massive de ressources, d’électricité et d’eau, ainsi que la production accrue de déchets électroniques. La note de position de l’INRIA et du ministère de la Transition écologique a pour objectif de constituer une coalition d’acteurs prêts à relever ces défis afin de maximiser les impacts positifs de l’IA, en particulier sur l’environnement, tout en minimisant l’empreinte écologique du déploiement des solutions basées sur cette technologie.
La note de position met en évidence cinq défis majeurs pour concilier l’IA et l’écologie :
- L’amélioration de la performance environnementale des technologies d’IA grâce à des avancées en efficacité énergétique, en architecture matérielle et en gestion des données ;
- Le développement de modèles d’IA plus spécialisés et adaptés, entraînés sur des données fiables afin de limiter la croissance de modèles généralistes énergivores ;
- L’optimisation de méthodes d’évaluation de l’empreinte environnementale de l’IA par des données plus précises et pertinentes ;
- L’application à grande échelle des principes de l’économie circulaire aux infrastructures de l’IA ;
- La refonte de l’image de l’IA pour encourager le développement d’outils frugaux à travers des revues scientifiques et des conférences spécialisées, tout en formant aux pratiques durables et à leur usage raisonné grâce à des contenus pédagogiques accessibles.
La note de position souligne l’importance de penser durablement le développement de l’IA, pour qu’elle soit à la fois performante et respectueuse de l’environnement, en équilibrant réglementation, innovation et transparence pour préserver les ressources naturelles.
Plateforme
Refus abusif d’une entreprise en position dominante de rendre sa plateforme numérique interopérable avec une application tierce
-
Dans son arrêt du 25 février 2025 (aff. C-233/23, Alphabet Inc. e.a.), la Cour de justice de l’Union européenne (CJUE) a précisé les conditions dans lesquelles le refus d’une entreprise en position dominante d’assurer l’interopérabilité de sa plateforme numérique avec une application développée par une entreprise tierce peut constituer un abus au sens de l’article 102 du TFUE.
Dans cette affaire, Enel X Italia avait demandé en 2018 à Google (société fille de la société Alphabet Inc.) d’assurer l’interopérabilité de son application JuicePass avec Android Auto, ce que Google a refusé. L’Autorité italienne de la concurrence a sanctionné ce refus sur le fondement de l’abus de position dominante et a infligé une amende de plus de 102 millions d’euros à Google. Contestant cette décision, Google a saisi le Conseil d’État italien, qui a posé une question préjudicielle à la CJUE sur l’interprétation de l’article 102 TFUE.
La CJUE commence par rappeler que le refus d’une entreprise en position dominante de rendre sa plateforme numérique interopérable avec une application tierce peut être constitutif d’un abus de position dominante, même lorsque cette interopérabilité n’est pas indispensable à l’exploitation commerciale de l’application concernée. En effet, dès lors que la plateforme a été conçue pour être accessible à des tiers, ce refus peut affecter le jeu normal de la concurrence en restreignant artificiellement l’attractivité d’une application alternative pour les consommateurs. L’exclusion d’un acteur du marché par une telle pratique peut ainsi avoir des effets anticoncurrentiels, indépendamment du fait que d’autres entreprises soient toujours présentes sur le marché concerné.
Toutefois, la Cour reconnaît que certaines justifications objectives peuvent légitimer un tel refus d’assurer l’interopérabilité. Il peut s’agir, par exemple, de l’inexistence d’un modèle technique permettant d’assurer l’interopérabilité de manière sécurisée, ou encore de contraintes techniques rendant impossible son développement. Dans ces hypothèses, le refus ne saurait être qualifié d’abusif, à condition que l’entreprise dominante démontre concrètement que l’ouverture de sa plateforme compromettrait son intégrité ou la sécurité de son utilisation.
En revanche, si aucune justification légitime ne peut être soutenue, l’entreprise en position dominante est tenue de prendre les mesures nécessaires pour développer un modèle d’interopérabilité dans un délai raisonnable. Le développement d’un modèle d’interopérabilité peut être soumis à une contrepartie financière, à condition que celle-ci soit proportionnée aux coûts engagés et qu’elle n’ait pas pour effet de dissuader artificiellement l’accès au marché. L’objectif est de garantir un équilibre entre la protection des investissements de l’entreprise dominante et le maintien d’une concurrence effective sur le marché numérique. (CJUE 25 févr. 2025, aff. C-233/23, Alphabet e.a.)
Sécurité
Cloud et sécurité : Rapport de l’Anssi Cloud computing état de la menace informatique du 19 février 2025, V. 1.0
-
Le 19 février 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié son rapport relatif à l’état de la menace informatique dans le cloud computing. Ce document dresse un état des lieux des risques de cybersécurité affectant les infrastructures et services cloud, et formule des recommandations visant à renforcer la protection des données et des systèmes. Dans un contexte où le recours au cloud computing constitue un levier essentiel pour les entreprises et les administrations publiques, la sécurisation des données hébergées sur ces infrastructures représente un enjeu stratégique majeur.
Face aux menaces, l’ANSSI recommande de privilégier des offres cloud certifiées conformes au référentiel SecNumCloud, qui impose des exigences strictes en matière de sécurité et de souveraineté numérique. Enfin, le rapport met en avant des recommandations spécifiques visant à renforcer la sécurisation des environnements cloud face aux menaces identifiées. Ce rapport constitue ainsi une référence en matière de cybersécurité appliquée au cloud computing et souligne l’importance d’une approche proactive pour limiter les risques de compromission des infrastructures et des données hébergées.
L’ANSSI souligne que cette dépendance technologique expose les utilisateurs à des menaces accrues. Ces risques concernent tant les fournisseurs de services cloud que leurs clients, qui doivent mettre en œuvre des mesures de protection adaptées.
L’un des points centraux du rapport concerne le principe de responsabilité partagée entre les fournisseurs de services cloud et leurs clients en matière de cybersécurité. L’ANSSI insiste sur le fait que les prestataires doivent assurer la sécurisation des infrastructures sous-jacentes, tandis que les clients restent responsables de la gestion des accès, des identités et des données qu’ils y hébergent.
Le cloud computing constitue une cible privilégiée pour les attaquants, qu’il s’agisse d’environnements cloud privés ou de services fournis par des prestataires externes, les cloud service providers. Le rapport identifie plusieurs catégories de menaces affectant ces services : les attaques à des fins lucratives (rançongiciels, vol de données), les cyberattaques à des fins d’espionnage (compromission de données sensibles) et les actions de déstabilisation (attaques par déni de service).
Par ailleurs, l’ANSSI met en garde contre les risques juridiques liés aux lois à portée extraterritoriale qui obligent les prestataires de services cloud à transmettre aux autorités de leur pays les données de leurs clients, sans possibilité de recours ni obligation d’information. Ce risque affecte directement la confidentialité des données hébergées dès lors que certaines législations étrangères, telles que le Cloud Act ou le Foreign Intelligence Surveillance Act américains, ou encore la loi chinoise sur le renseignement, permettent aux autorités de ces pays d’accéder aux données stockées sur les infrastructures cloud des entreprises relevant de leur juridiction, y compris lorsque ces données sont hébergées en dehors de leur territoire. Cette situation peut compromettre la confidentialité des données stockées sur des serveurs situés hors de l’Union européenne et soulever des risques de non-conformité avec le RGPD.
La Commission et le Haut Représentant présentent des actions fortes pour renforcer la sécurité des câbles sous-marins : communiqué de presse de la Commission européenne
-
Le 21 février 2025, la Commission européenne et le Haut Représentant de l’Union pour les affaires étrangères et la politique de sécurité ont présenté une communication conjointe visant à renforcer la sécurité des câbles sous-marins dans l’Union européenne. Ces infrastructures, essentielles aux communications électroniques et à l’approvisionnement énergétique, sont particulièrement exposées aux cybermenaces, aux attaques physiques et aux actes de sabotage. La Commission européenne souligne l’importance de ces câbles, qui assurent 99 % du trafic internet intercontinental et facilitent l’intégration des marchés de l’électricité entre les États membres. Face à l’augmentation des incidents affectant ces infrastructures, notamment dans la région de la mer Baltique, cette initiative vise à mettre en place des mesures de prévention, de surveillance et de réponse rapide aux menaces.
La question des infrastructures de câbles sous-marins avait déjà été abordée dans une recommandation de 2024 relatives à la sécurité et la résilience de ces infrastructures, ainsi que dans un livre blanc intitulé Comment maîtriser les besoins de l’Europe en matière d’infrastructures numériques.
La communication conjointe de la Commission européenne et du Haut Représentant de l’Union introduit une série de mesures structurées autour de quatre axes :
• Prévention : renforcement des exigences de sécurité et des évaluations des risques, et financement prioritaire du déploiement de nouveaux câbles ;
• Détection : amélioration des capacités de surveillance maritime, notamment en mer Méditerranée et en mer baltique, afin d’anticiper les menaces et de mettre en place des alertes en temps réel ;
• Réponse et rétablissement : augmentation des capacités de réparation et mise en place d’un cadre de crise européen optimisé pour permettre une intervention rapide en cas de perturbation ;
• Dissuasion : sanctions accrues et ciblées contre les acteurs responsables d’actes hostiles et intégration de la « diplomatie du câble » dans la politique extérieure de l’Union.
L’approche retenue par la Commission s’inscrit dans une dynamique de coopération entre les États membres et les agences européennes compétentes, notamment l’Agence européenne pour la cybersécurité (ENISA). Cette action vient compléter les efforts de l’OTAN et les stratégies nationales mises en place pour protéger les infrastructures critiques. Ce plan s’inscrit également dans le cadre plus large du renforcement des infrastructures essentielles, à travers la directive sur la résilience des entités critiques (CER) et la directive sur les réseaux et systèmes d’information (NIS2). Les actions prévues seront progressivement mises en œuvre en 2025 et 2026.
