- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 2 juin 2025
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 2 juin 2025
Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 2 juin.
Données personnelles
Données de santé et service « Google My Business »
-
L’arrêt rendu le 22 mai 2025 par la Cour d’appel de Chambéry concerne la création non sollicitée d’une fiche Google My Business (GMB) au nom d’une dentiste, Mme [C], comportant ses coordonnées professionnelles ainsi que des avis d’internautes, dont certains très négatifs. La fiche avait été générée automatiquement sans son consentement, et Google avait refusé de la supprimer.
La fiche Google My Business est un outil proposé par Google pour référencer des professionnels, en rendant visibles leur nom, leur adresse, leur numéro de téléphone, ainsi que des avis et une note attribuée par les utilisateurs. Ces fiches sont souvent créées sans l’intervention de la personne concernée et peuvent avoir une forte incidence sur sa réputation. Mme [C] a demandé à Google la suppression de sa fiche, en invoquant son droit à la protection des données personnelles. Devant le refus de Google, elle a engagé une action judiciaire contre Google France, Google LLC (États-Unis) et Google Ireland Limited. En première instance, le tribunal de Chambéry a jugé le traitement des données illicite et ordonné la suppression de la fiche sous astreinte. Google a fait appel.
La cour d’appel confirme que les données publiées (nom, prénom, profession, coordonnées) sont bien des données personnelles, et que le RGPD s’applique, même si elles concernent une activité professionnelle. Elle juge que Mme [C] n’a jamais consenti à ce traitement, et que Google ne peut pas justifier d’un intérêt légitime suffisant. En effet, la finalité affichée d’information du public masque une logique commerciale, puisqu’un professionnel ne peut gérer sa fiche qu’en créant un compte Google, ce qui l’amène à entrer dans un écosystème publicitaire. La Cour reconnaît un déséquilibre manifeste entre les droits de Mme [C] et ceux invoqués par Google. Les avis publiés n’étant ni vérifiés ni toujours attribuables à de véritables patients, et la professionnelle étant tenue au secret médical, elle ne pouvait y répondre efficacement.
La Cour retient donc une violation du RGPD (art. 6 et 14) et ordonne la suppression de la fiche en vertu de l’article 17 (droit à l’effacement). En revanche, la Cour rejette les fondements de dénigrement et de parasitisme, faute de preuve d’un préjudice économique ou d’un comportement manifestement illicite de Google en tant qu’hébergeur. Elle reconnaît néanmoins un préjudice moral, et accorde à Mme [C] la somme de 10 000 €, au lieu des 20 000 accordés en première instance.
Cet arrêt rappelle que les plateformes ne peuvent pas imposer à des individus un traitement automatisé de leurs données sans base légale solide. Il renforce la protection des professionnels face aux fiches numériques non sollicitées et affirme l’importance du consentement et de la transparence dans le traitement des données. (Chambéry, 22 mai 2025, n° 22/01814)
Quand la protection des données personnelles participe de la cybersécurité
-
Le 5 juin 2025, la CNIL a publié une étude soulignant les bénéfices économiques du RGPD en matière de cybersécurité, en complément des analyses souvent centrées sur les coûts de conformité.
L’étude se concentre sur les articles 32 à 34 du RGPD, qui imposent:
- la mise en place de mesures de sécurité adaptées,
- la notification des violations à la CNIL,
- et l’information des personnes concernées.
Ces obligations incitent les entreprises à mieux sécuriser les données, en les contraignant à anticiper les risques et à assumer leurs défaillances. En l’absence de telles règles, les entreprises ont tendance à sous-investir en cybersécurité, au détriment des utilisateurs et au profit des cybercriminels.
La CNIL estime que, grâce à la notification obligatoire des violations, les usurpations d’identité ont diminué, entraînant une économie estimée entre 90 et 219 millions d’euros en France, et jusqu’à 1,42 milliard dans l’UE depuis 2018. Ces gains bénéficient surtout aux entreprises.
L’étude se limite à ces seuls articles et recommande de poursuivre les travaux, notamment sur d’autres aspects du RGPD (minimisation des données, conservation limitée, DPO) pour évaluer l’impact global en matière de cybersécurité. (CNIL, Etude d’impact économique du RGDP)
Intelligence artificielle
Meta entraînera ses systèmes d’IA avec les données des utilisateurs européens dès fin mai 2025
-
Dans un communiqué du 27 mai 2025, la CNIL a indiqué que Meta procédera, dès la fin du mois de mai 2025, à l’entraînement de ses systèmes d’Intelligence Artificielle, à partir des données des utilisateurs européens de ses réseaux sociaux Facebook et Instagram.
Ce traitement inclura à la fois les données anciennes et celles générées à l’avenir, issues des publications publiques (textes, images, commentaires) des utilisateurs adultes, ainsi que les interactions des utilisateurs, quel que soit leur âge, avec les outils d’IA de Meta, notamment via ses agents conversationnels. Les données issues de Meta AI sur WhatsApp sont toutefois exclues. À cette fin, Meta a modifié sa politique de confidentialité et prévoit d’informer individuellement les utilisateurs concernés.
Ce projet, initialement suspendu en 2024 à la suite d’échanges avec l’autorité irlandaise de protection des données (DPC), a été relancé à la suite d’un renforcement par Meta de ses mesures de filtrage pour réduire le risque de mémorisation des données personnelles par ses modèles d’IA. Meta a également mis à disposition un nouveau formulaire d’opposition destiné aux titulaires de comptes sur ses plateformes. Des discussions restent en cours entre la DPC et Meta et pourraient donner lieu à d’autres évolutions.
Les utilisateurs seront prochainement informés de la nouvelle politique de confidentialité, prévue d’ici la fin du mois. Ils peuvent déjà s’opposer au traitement, sans justification, en ajustant leurs paramètres de confidentialité ou via un formulaire dédié. Cette opposition concerne uniquement leurs propres publications.
Les autorités européennes de protection des données, dont la CNIL, entendent rester mobilisées pour garantir la protection des droits des personnes concernées face à l’utilisation, par Meta, de leurs données. Sont notamment analysées la licéité de cette nouvelle finalité, l’effectivité du droit d’opposition, ainsi que la compatibilité du traitement avec les finalités initialement déterminées. Les autorités examinent également les cas d’utilisation d’images de mineurs publiées par des adultes.
L’impartialité du Bureau de l’IA questionnée : plainte et recommandations de LobbyControl
-
Le 4 juin 2025, les organisations Corporate Europe Observatory (CEO) et LobbyControl ont saisi le Médiateur européen d’une plainte pour mauvaise gestion visant le Bureau de l’intelligence artificielle (AI Office). Cette démarche porte sur le recours par ce Bureau à deux cabinets de conseil, Wavestone et Intellera, pour participer à l’élaboration du Code de bonnes pratiques applicable aux systèmes d’intelligence artificielle à usage général.
Les plaignants soulignent que ces cabinets entretiennent des liens économiques avec des fournisseurs majeurs d’IA générative : Wavestone collabore activement avec Microsoft, tandis qu’Intellera a été récemment rachetée par Accenture. Selon eux, ces relations pourraient soulever des risques de conflits d’intérêts, en particulier si elles influencent les orientations normatives du Code. La plainte s’appuie sur les règles européennes encadrant les marchés publics et la prévention des conflits d’intérêts, et déplore l’absence de réponse satisfaisante à plusieurs demandes d’accès à l’information.
Dans ce contexte, l’organisation DigitalEurope a publié, le même jour, une série de propositions visant à réformer le statut du Bureau de l’IA. Elle suggère notamment de le transformer en autorité indépendante dotée de pouvoirs de surveillance étendus, et d’instituer un conseil consultatif composé de représentants de l’industrie.
L’ensemble de ces initiatives relance la réflexion sur les garanties d’impartialité et de transparence dans la gouvernance européenne de l’intelligence artificielle, à l’approche de l’entrée en vigueur du règlement sur l’IA.
DSA
La Commission ouvre des enquêtes au titre du règlement sur les services numériques afin de protéger les mineurs des contenus pornographiques
-
Le 27 mai 2025, la Commission européenne a annoncé l’ouverture de plusieurs procédures formelles, sur le fondement du DSA, à l’encontre des plateformes Pornhub, Stripchat, XNXX et XVideos, pour des manquements présumés à leurs obligations en matière de protection des mineurs. Cette décision résulte de l’analyse des évaluations de risques systématiques transmises par les plateformes concernées en juin et décembre 2024, ainsi que des réponses apportées aux demandes d’informations émanant de la Commission.
Plus précisément, la Commission considère, en l’état de l’instruction, que les mesures mises en œuvre par les services concernés pour prévenir l’accès des mineurs à des contenus à caractère pornographique pourraient ne pas satisfaire aux exigences prévues par le règlement. Sont notamment visées l’absence de dispositifs de vérification d’âge techniquement fiables et l’insuffisance de mesures appropriées et proportionnées destinées à assurer un niveau élevé de sécurité, de confidentialité et de protection de l’intégrité des utilisateurs mineurs. Ces enquêtes s’inscrivent dans le cadre du régime de surveillance spécifique applicable aux très grandes plateformes en ligne, lesquelles sont tenues de procéder à des évaluations régulières des risques systémiques découlant de la conception, de l’accessibilité et de l’exploitation de leurs services.
Parallèlement à ces procédures individuelles, plusieurs autorités compétentes des États membres, réunies au sein du Comité européen des services numériques, ont engagé une action coordonnée à l’encontre de plateformes de moindre envergure établies sur leurs territoires respectifs, en vue d’assurer une application cohérente et homogène des règles relatives à la protection des mineurs en matière d’accès à des contenus à caractère sexuel.
Enfin, la Commission a rappelé avoir publié, le 12 mai 2025, un projet de lignes directrices relatives à la protection des mineurs en ligne, dans le but de fournir aux plateformes des orientations concrètes sur la mise en œuvre de leurs obligations. Ce projet, soumis à consultation publique, vise à préciser les modalités de mise en œuvre des obligations incombant aux fournisseurs de services en vertu du DSA. Il propose notamment l’adoption de dispositifs de vérification ou d’estimation de l’âge permettant de limiter l’accès des mineurs à des contenus inappropriés, tout en garantissant le respect du droit à la vie privée. À cette fin, la Commission, en concertation avec les États membres, développe une solution technologique de vérification d’âge sous la forme d’une application en marque blanche, fondée sur les standards techniques du portefeuille européen d’identité numérique. Cette solution, dont la mise à disposition est prévue à l’été 2025, a pour objectif de permettre aux fournisseurs de vérifier si un utilisateur est âgé de plus de dix-huit ans, sans collecte ni accès à d’autres données personnelles
Cloud
Autopréférence des fournisseurs de cloud : l’Autorité de la concurrence lance une consultation publique
-
Le 4 juin 2025, dans le prolongement de la loi n° 2024-449 du 21 mai 2024 relative à la sécurisation et à la régulation de l’espace numérique (dite loi SREN), l’Autorité de la concurrence a lancé une consultation publique portant sur les pratiques d’autopréférence dans le secteur du cloud computing. Cette démarche s’inscrit dans la perspective de la remise, d’ici le 22 novembre 2025, d’un rapport au Parlement et au Gouvernement. Ce rapport visera à faire état des observations de l’Autorité sur le sujet, tout en proposant, le cas échéant, des recommandations législatives ou procédurales.
L’autopréférence, telle que définie à l’article L. 442-12 du code de commerce, consiste, pour un fournisseur de services cloud qui est également éditeur de logiciels, à imposer des conditions tarifaires ou techniques défavorables lorsqu’un logiciel est utilisé via un cloud concurrent, sans justification objective. Autrement dit, il s’agit de pratiques visant à favoriser son propre environnement cloud au détriment des autres, ce qui peut restreindre la concurrence et nuire à la liberté de choix des clients. Ces comportements rappellent ceux constatés dans l’affaire Google Shopping, dans laquelle la Commission européenne avait sanctionné Google pour avoir privilégié son propre service au mépris de l’article 102 du TFUE.
Cette consultation publique fait suite à l’avis n° 23-A-08 rendu le 29 juin 2023, dans lequel l’Autorité avait déjà identifié plusieurs pratiques préoccupantes : restrictions contractuelles et techniques limitant l’utilisation dans le cloud de logiciels achetés hors ligne auprès de fournisseurs concurrents, stratégies tarifaires dissuadant le recours à des services alternatifs, ou encore obstacles techniques freinant la migration entre prestataires cloud. Ces constats ont mis en évidence un risque d’enfermement des utilisateurs dans des écosystèmes propriétaires verrouillés.
Dans ce contexte, l’Autorité invite l’ensemble des acteurs concernés — entreprises utilisatrices, fournisseurs de services cloud, éditeurs de logiciels — à contribuer à la consultation en répondant à deux questions précises : ont-ils observé des situations d’autopréférence au sens de la loi ? Et souhaitent-ils formuler des propositions pour mieux encadrer ces pratiques ?
Les contributions doivent être transmises avant le 30 juin 2025. Elles seront traitées de manière confidentielle. Par cette initiative, l’Autorité entend mieux cerner les risques anticoncurrentiels dans le secteur stratégique du cloud, en vue d’un éventuel renforcement du cadre juridique applicable.
