Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 31 mars 2025

Données personnelles

WhatsApp vs Comité européen de la protection des données : conclusion de l’avocate générale du 27 mars 2025, dans l’affaire C‑97/23 P

• Le 27 mars 2025, l’avocate générale Tamara Ćapeta a rendu ses conclusions dans l’affaire C-97/23 P relative au pourvoi formé par WhatsApp contre l’irrecevabilité de son recours visant une décision contraignante du Comité européen de la protection des données.
  Par ordonnance, le Tribunal de l’Union européenne du 7 décembre 2022 (aff. T-709/21), a déclaré irrecevable le recours en annulation contre la décision contraignante 1/2021 adoptée par le Comité européen de la protection des données (CEPD) le 28 juillet 2021, dans un contexte de manquements présumés de WhatsApp aux obligations de transparence prévues aux articles 12 à 14 du RGPD.
  Le RGPD prévoit à ce titre un mécanisme de contrôle de la cohérence qui permet au CEPD d’adopter des décisions contraignantes pour résoudre des litiges entre autorités de contrôle nationales. En l’espèce, la DPC, agissant en tant qu’autorité chef de file au sens de l’article 60 du RGPD, a soumis un projet de décision aux autres autorités européennes concernées qui ont émis des objections substantielles sur la qualification des infractions commises et le montant des sanctions proposées.
  Faute d’accord entre les autorités, la DPC a saisi le CEPD qui a adopté une décision contraignante imposant des modifications substantielles au projet, notamment sur la reconnaissance de certaines violations et le niveau des sanctions. En application de l’article 65, paragraphe 2 du RGPD, il revenait à la DPC d’adopter la décision finale à l’encontre de WhatsApp, en intégrant les instructions du CEPD. Cette décision nationale aurait dû produire des effets juridiques directs à l’encontre de WhatsApp et seule susceptible de recours, la décision du CEPD n’intervenant qu’à titre d’intermédiaire.
  WhatsApp a néanmoins saisi le Tribunal de l’Union européenne d’un recours en annulation contre la décision du CEPD, en invoquant sa qualité d’acte attaquable au sens de l’article 263, paragraphe 1 du TFUE, et en soutenant que cette décision l’affectait directement au sens du paragraphe 4 du même article. Par ordonnance du 7 décembre 2022, le Tribunal a rejeté le recours au motif que la décision du CEPD constituait un acte préparatoire et ne produisait pas en elle-même d’effets juridiques directs à l’encontre de WhatsApp. WhatsApp a formé un pourvoi devant la CJUE du 7 février 2023.
  Dans ses conclusions, l’avocate générale invite la Cour de justice à annuler l’ordonnance du Tribunal et à autoriser un recours en annulation autonome au motif que (i) les conditions de recevabilité de l’action de WhatsApp seraient réunies, l’ordonnance constituant un acte attaquable, car liant juridiquement l’autorité de contrôle nationale, en l’occurrence la DPC et (ii) WhatsApp serait directement concernée par la décision, dès lors que celle-ci modifie sa situation juridique sans laisser de marge d’appréciation à la DPC.
  L’avocate générale demande donc le renvoi de l’affaire devant le Tribunal afin qu’il statue sur le fond. La portée de l’affaire ne se limite pas au seul litige opposant WhatsApp au CEPD dans la mesure où plusieurs autres recours actuellement pendants portent sur des décisions adoptées par le CEPD dans le cadre du mécanisme de règlement des litiges prévu à l’article 65 du RGPD. En retenant la qualification d’actes attaquables des autorités de contrôle nationale, les conclusions de l’avocate générale tendent à un élargissement du contrôle juridictionnel sur de tels actes.

Ciblage publicitaire, entre concurrence et vie privée : décision de l’Autorité de la concurrence à l’encontre d’Apple en raison de la mise en œuvre du dispositif App Tracking Transparency (« ATT »)

• Le 28 mars 2025, l’Autorité de la concurrence a rendu la décision n° 25-D-02 infligeant une sanction de 150 millions d’euros à l’encontre d’Apple pour abus de position dominante dans le secteur de la distribution d’applications mobiles sur les terminaux iOS et iPadOS. Cette décision fait suite à des plaintes déposées par plusieurs acteurs de la publicité en ligne, dénonçant la mise en œuvre par Apple de son dispositif App Tracking Transparency (« ATT »), introduit en avril 2021.
  Le dispositif ATT impose aux applications tierces d’obtenir le consentement explicite des utilisateurs par une fenêtre dédiée, avant toute opération de collecte de données à des fins publicitaires. Ce consentement est requis lors de la première utilisation d’une application téléchargée depuis l’App Store. L’Autorité a estimé que, bien que l’objectif de protection des données personnelles soit légitime, les modalités de mise en œuvre de l’ATT par Apple n’étaient ni nécessaires ni proportionnées. En particulier, l’ATT complexifie le parcours utilisateur pour les applications tierces, tout en appliquant des règles distinctes à ses propres services.
  L’Autorité a relevé plusieurs asymétries de traitement. D’une part, les éditeurs tiers doivent solliciter un double consentement pour le suivi publicitaire, tandis qu’Apple utilise une fenêtre unique intitulée « Publicité Personnalisée » pour ses propres services. D’autre part, jusqu’à la version iOS 15, les applications d’Apple n’étaient pas soumises aux mêmes exigences de consentement que celles imposées aux autres développeurs, ce qui avait conduit à une sanction de la CNIL pour non-respect de l’article 82 de la loi Informatique et Libertés. Cette asymétrie a été jugée particulièrement préjudiciable aux petits éditeurs, qui ne disposent pas d’alternatives techniques ou économiques équivalentes à celles des grandes plateformes verticalement intégrées comme Apple.
  L’Autorité a conclu que ces pratiques ont causé un préjudice économique certain aux éditeurs tiers et aux fournisseurs de services publicitaires. En conséquence, elle a estimé que les modalités de mise en œuvre du dispositif ATT constituaient un abus de position dominante. (Aut conc., Décis. n° 25-D-02 du 28 mars 2025)

DSA

L’ARCOM désigne de nouveaux signaleurs de confiance : annonce du 27 mars 2025

• L’ARCOM, coordinateur des services numériques en France, a annoncé le 27 mars 2025 la désignation de nouveaux signaleurs de confiance dans le cadre du Règlement européen sur les services numériques ou Digital Services Act (RSN/DSA). Ce dispositif impose aux plateformes des obligations renforcées en matière de modération, notamment contre les contenus illicites. La désignation de l’association de lutte contre la piraterie audiovisuelle (ALPA), le Fonds international pour la protection des animaux (IFAW ou International Fund for Animal Welfare), l’association INDECOSA-CGT et de l’association Point de Contact, après e-Enfance en novembre 2024, renforce le signalement prioritaire des contenus interdits pour un Internet plus sûr dans l’Union européenne.
  Ces nouvelles désignations s’inscrivent dans une logique d’efficacité et de transparence, les signaleurs de confiance étant sélectionnés sur la base de critères précis définis par l’article 22 du DSA. Ils doivent notamment démontrer leur expertise dans la détection, l’identification et la notification des contenus illicites, leur indépendance vis-à-vis des plateformes et leur capacité à signaler de manière diligente, précise et objective. Une fois un signalement effectué dans ce cadre, la plateforme concernée est tenue d’agir rapidement pour retirer le contenu litigieux ou d’en contester le caractère manifestement illicite.
  Les infractions visées par ces signalements sont variées : piratage audiovisuel, commerce illégal d’espèces protégées, mise en vente de produits dangereux ou encore incitation à la haine. Ce mécanisme permet ainsi de renforcer la réactivité des plateformes dans la suppression de contenus illicites, tout en offrant aux utilisateurs des garanties procédurales, telles que la possibilité, pour l’auteur du contenu, de contester le retrait devant un juge ou via un règlement extrajudiciaire des litiges.
  La désignation de ces nouveaux signaleurs par l’ARCOM s’accompagne d’une incitation aux autres acteurs qualifiés à déposer leur candidature, afin d’élargir ce réseau de vigilance. Par ailleurs, tant les signaleurs que les plateformes ont l’obligation de publier un rapport annuel de transparence, instaurant ainsi un contrôle renforcé sur la gestion des signalements et la modération des contenus.

Offensive du gouvernement américain contre le DSA : annonce du président Trump le 3 avril quant à la mise en œuvre de droits de douane « réciproques »

• Le gouvernement des États-Unis, sous la présidence de Donald Trump, a exprimé à plusieurs reprises des préoccupations à l’égard du Digital Services Act (DSA), estimant que cette réglementation pourrait restreindre de manière excessive la liberté d’expression et nuire aux entreprises américaines actives dans le secteur de la technologie.
  Ainsi, le 21 février 2025, le président Trump a signé un mémorandum ordonnant à son administration d’examiner l’opportunité d’imposer des droits de douane aux pays adoptant des taxes et des réglementations affectant spécifiquement les entreprises américaines actives dans le secteur de la technologie. Cette initiative cible en particulier les taxes sur les services numériques mises en place par plusieurs pays européens, que les États-Unis considèrent comme discriminatoires à l’égard des entreprises américaines. Le 3 avril 2025, le président Trump a annoncé la mise en œuvre de droits de douane « réciproques » à hauteur de 10 % sur l’ensemble des importations en provenance de ces pays, avec un taux spécifique de 20 % pour les pays membres de l’Union européenne.
  Cette initiative fait suite aux déclarations du vice-président des États-Unis, James Davis Vance, qui, lors d’un discours prononcé à Munich le 14 février 2025, a exprimé son opposition fondamentale au DSA, notamment en ce qui concerne la lutte contre la suppression des contenus illicites. Plus récemment, Brendan Carr, président de la Federal Communications Commission (FCC), a affirmé le 3 mars 2025 que le DSA est incompatible avec les principes fondamentaux de la liberté d’expression aux États-Unis et avec les engagements pris par les entreprises américaines en matière de diversité d’opinions.
  Par ailleurs, plusieurs membres du Congrès américain, dont le président de la commission judiciaire de la Chambre des représentants, Jim Jordan, ont sollicité des clarifications auprès de la commissaire européenne à la concurrence, Teresa Ribera, quant à l’application du DSA et du Digital Markets Act (DMA). Ils ont exprimé leurs préoccupations sur le fait que ces législations pourraient avantager les entreprises européennes et chinoises, au détriment des entreprises américaines, et qu’elles pourraient avoir un impact sur l’innovation et la recherche.
  Dans ce contexte, la présidente de la Commission européenne, Ursula von der Leyen, a réaffirmé à plusieurs reprises que l’Union européenne demeure ouverte au dialogue tout en restant déterminée à défendre ses intérêts et à répondre de manière proportionnée en cas d’échec des négociations.

Plateformes

Rapport parlementaire rappelant l’urgence démocratique d’appliquer pleinement et entièrement le règlement européen sur les services numériques

• Le 19 mars 2025, la proposition de résolution européenne portée par Thierry Sother et d’autres députés a été adoptée à l’issue du rapport de l’Assemblée nationale rédigé au nom de la commission des affaires européennes. Cette proposition de résolution rappelle l’urgence démocratique d’appliquer pleinement et entièrement le règlement européen sur les services numériques.
  Le texte souligne l’urgence démocratique d’une application rigoureuse et intégrale du règlement européen sur les services numériques (DSA), afin de garantir une meilleure régulation des grandes plateformes numériques et de protéger la souveraineté numérique européenne. La proposition de résolution a été transmise à la commission des affaires économiques pour un examen approfondi.
  Le rapport alerte sur l’importance d’une gouvernance numérique renforcée face à la domination des grandes plateformes numériques. Le texte souligne que leur modèle économique fondé sur la publicité et la captation de l’attention, notamment par le biais des algorithmes, favorise la désinformation et les ingérences étrangères, par exemple lors des processus électoraux. L’exemple de l’élection présidentielle roumaine de 2024 est mis en avant pour illustrer ces risques (M. Clément-Fontaine et cabinet Twelve Avocats, Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 2 déc. 2024, Dalloz actualité, 12 déc. 2024).
  Face à ces menaces, le rapport appelle la Commission européenne à appliquer fermement le DSA et à utiliser pleinement ses pouvoirs pour enquêter, contraindre et sanctionner les plateformes en cas de non-conformité. Il insiste sur la nécessité d’une transparence accrue concernant les procédures engagées contre ces acteurs et demande de fournir un suivi régulier de leur évolution aux États membres.
  L’attention se porte particulièrement sur la plateforme X (anciennement Twitter), dont l’évolution récente interroge sur son rôle dans la diffusion d’informations et la manipulation de l’opinion. La proposition de résolution soutient la décision de la Commission européenne d’approfondir son enquête sur les algorithmes de recommandation de ce réseau social et réclame une investigation rapide et transparente.
  Le rapport invite également la Commission à mettre en place un dispositif d’urgence permettant aux États membres de réagir rapidement en cas de violation grave du DSA. La proposition de résolution préconise également des mesures fortes, telles que l’obligation pour les propriétaires de plateformes de céder leurs parts européennes en cas de conflit d’intérêts, voire la suspension ou l’interdiction des plateformes concernées dans l’Union européenne.
  Enfin, la proposition de résolution encourage le développement de plateformes et d’infrastructures numériques souveraines au sein de l’Union européenne. Le rapport appelle le gouvernement à porter ces revendications auprès des institutions européennes afin d’assurer une meilleure protection des citoyens et une régulation efficace, garantissant ainsi la souveraineté et la stabilité démocratique du continent. (Rapport n° 1159, rappelant l’urgence démocratique d’appliquer pleinement et entièrement le règlement européen sur les services numériques, déposé le mercredi 19 mars 2025)

Bocage de TikTok, le Conseil d’État tranche

• Le 1^er avril 2025, le Conseil d’État a annulé la décision du 14 mai 2024 par laquelle le Premier ministre avait ordonné le blocage du service de communication au public en ligne TikTok sur le territoire de la Nouvelle-Calédonie.
  Cette mesure avait été contestée par la Ligue des droits de l’homme, l’association La Quadrature du Net ainsi que par plusieurs particuliers au motif qu’elle portait une atteinte disproportionnée à plusieurs libertés fondamentales.
  Les faits à l’origine du litige s’inscrivaient dans le contexte de graves troubles à l’ordre public survenus en Nouvelle-Calédonie à compter du 13 mai 2024, à l’occasion de l’examen parlementaire d’un projet de révision constitutionnelle relatif au corps électoral local. Ces événements ont donné lieu à des violences, des affrontements armés, et des destructions d’infrastructures. Dans ce contexte, le Premier ministre a décidé, le 14 mai 2024, de procéder à l’interruption de l’accès au service TikTok, mesure immédiatement mise en œuvre et levée le 29 mai suivant. Cette décision était justifiée par le fait que la plateforme était utilisée pour diffuser des contenus incitant au recours à la violence, dont la propagation aurait été facilitée par les algorithmes de la plateforme. Parallèlement, un décret du 15 mai 2024 a instauré l’état d’urgence en Nouvelle-Calédonie, conformément à la loi n° 55-385 du 3 avril 1955. Les requérants ont introduit un recours en excès de pouvoir contre la décision de blocage, soutenant qu’elle portait atteinte de manière illégale et disproportionnée à la liberté d’expression et de communication.
  Le Conseil d’État rappelle que même en dehors du cadre de l’état d’urgence, l’autorité administrative peut, en présence de circonstances exceptionnelles, prendre des mesures dérogatoires au droit commun, sous réserve de leur stricte nécessité et de leur proportionnalité. L’interruption temporaire d’un service de communication en ligne ne peut être admise qu’à trois conditions cumulatives : (i) d’une part la nécessité de faire face à des événements d’une particulière gravité ; (ii) d’autre part l’impossibilité d’adopter des mesures techniques alternatives moins attentatoires aux droits ; (iii) enfin une limitation de la durée de l’interruption au temps nécessaire à l’adoption de ces mesures alternatives. En l’espèce, le Conseil d’État a jugé que ces conditions n’étaient pas remplies. La décision du Premier ministre ordonnait une interruption complète et pour une durée indéterminée de l’accès à TikTok, sans que soit démontrée l’impossibilité de mettre en œuvre des solutions techniques plus ciblées, telles que la désactivation de certaines fonctionnalités.
  La haute juridiction a conclu que la mesure contestée constituait une atteinte manifestement disproportionnée aux libertés de communication, d’expression et d’accès à l’information, garanties notamment par l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789. Dès lors, le Conseil d’État a prononcé l’annulation de la décision de blocage du service TikTok. En application de l’article L. 761-1 du code de justice administrative, il a également condamné l’État à verser une somme à chacun des requérants au titre des frais irrépétibles.
  La portée de cet arrêt du Conseil d’État doit cependant être circonscrite, notamment du fait que la Nouvelle-Calédonie ne relève pas du droit de l’Union européenne. Or en métropole, le règlement sur les services numériques (DSA), pleinement applicable, prévoit des mécanismes de droit commun (art. 51) et d’exception (article 36) permettant de répondre aux situations de crise. Par ailleurs, le règlement européen « Internet Ouvert » n° 2015/2120 encadre strictement le blocage d’un service par un fournisseur d’accès à Internet soumis au droit de l’Union. Ainsi, en métropole, toute mesure de blocage hors décision de justice nécessiterait donc un dialogue avec la plateforme concernée et la Commission. (CE 1^er avr. 2025, n^os 494511, 494583, 495174 A)