Accueil
Le quotidien du droit en ligne
-A+A
Article

Panorama rapide de l’actualité « Technologies de l’information » des semaines du 14 et 21 avril 2025

Sélection de l’actualité « Technologies de l’information » marquante des semaines du 14 et 21 avril.

Données personnelles et intelligence artificielle

Blockchain et protection des données personnelles : le CEPD publie ses lignes directrices

  • Le 8 avril 2025, le Comité européen de la protection des données (CEPD) a publié la version préliminaire de ses lignes directrices relatives au traitement des données à caractère personnel via les technologies de la blockchain, soumises à consultation publique jusqu’au 9 juin 2025.
    Conscient des tensions qui existent entre les spécificités de la blockchain et les exigences posées par le RGPD s’agissant des traitements de données personnelles, le CEPD y formule des recommandations à l’attention des organisations utilisant ces technologies et souhaitant mettre en œuvre ce type de traitements.
    Le CEPD met en évidence les conflits fondamentaux opposant certaines caractéristiques de la blockchain, telles que sa nature décentralisée, l’immutabilité des enregistrements, la transparence des données inscrites et la distribution du contrôle, aux principes directeurs du RGPD. Ces caractéristiques sont en effet susceptibles de compromettre la mise en œuvre effective de droits, tels que le droit à la rectification, le droit à l’effacement (RGPD, art. 17) ou encore le droit d’opposition (RGPD, art. 21). Elles soulèvent également des problématiques spécifiques relatives à la limitation de la conservation des données et à la minimisation des données traitées.
    Afin de concilier l’usage des technologies blockchain avec les exigences du RGPD, le CEPD recommande l’adoption de mesures techniques et organisationnelles adaptées dès la phase de conception des traitements. Il est notamment préconisé de privilégier le stockage hors chaîne des données à caractère personnel, de restreindre la nature et le volume des données inscrites en chaîne à des métadonnées pseudonymisées. Le CEPD souligne que le choix de l’architecture blockchain (publique, privée, permissionnée) doit être dûment justifié et documenté.
    Les lignes directrices insistent également sur l’importance d’une identification claire des rôles et responsabilités des différents acteurs impliqués dans un traitement fondé sur la blockchain, et notamment des responsables de traitement et des sous-traitants. Cette clarification est essentielle pour assurer une répartition adéquate des obligations et garantir la conformité au RGPD. Le CEPD souligne que cette analyse doit être réalisée dès la phase de conception du traitement. Une analyse d’impact relative à la protection des données (AIPD) est vivement recommandée avant la mise en œuvre de tout traitement utilisant la blockchain, particulièrement lorsque ce traitement présente un risque élevé pour les droits et libertés des personnes concernées.
    Enfin, le CEPD rappelle que le fondement juridique du traitement, notamment le recours au consentement, doit être envisagé avec une certaine prudence dans le contexte de la blockchain, en raison de l’irréversibilité potentielle des traitements réalisés sur la chaîne. En l’absence de garanties techniques permettant la suppression ou l’anonymisation effective des données personnelles, le traitement ne pourra être considéré comme conforme au RGPD. Dès lors, l’opportunité d’utiliser une blockchain doit être soigneusement évaluée au regard des principes de nécessité, de proportionnalité et de protection des droits fondamentaux, et, dans certains cas, cette technologie pourrait être écartée pour des traitements impliquant des données personnelles.

La CNIL publie sa stratégie européenne et internationale pour 2025-2028

  • Le 14 avril 2025, la CNIL a publié sa stratégie européenne et internationale pour la période 2025-2028, s’inscrivant dans le prolongement de son plan stratégique national adopté précédemment et dans une volonté de renforcer l’action de la CNIL à l’échelle européenne et mondiale.
    La stratégie européenne et internationale de la CNIL s’articule autour de trois axes : fluidifier la coopération européenne, promouvoir des standards internationaux élevés en matière de protection des données personnelles, et consolider l’influence européenne et internationale de la CNIL.
    Le premier axe a pour objet de fluidifier les mécanismes européens de coopération afin de renforcer l’effectivité du droit à la protection des données issu du RGPD. La CNIL entend y jouer un rôle moteur, notamment au sein du Comité européen de la protection des données (CEPD), en s’impliquant davantage dans les procédures de coopération et de cohérence prévues par le RGPD. Elle souhaite également renforcer sa participation à des opérations conjointes de contrôle et de répression priorisées au niveau européen, tant en qualité d’autorité cheffe de file qu’en tant qu’autorité concernée.
    Le deuxième axe concerne la promotion à l’échelle internationale d’un niveau élevé de protection des données personnelles, sur le fondement des droits et libertés fondamentaux. À ce titre, la CNIL poursuit son engagement dans des instances intergouvernementales, telles que le Conseil de l’Europe (notamment pour la mise en œuvre de la Convention 108), l’OCDE, l’Assemblée mondiale de la vie privée (Global Privacy Assembly) ou encore l’Association francophone des autorités de protection des données (AFAPDP). Elle envisage également d’étendre ses interactions avec d’autres forums internationaux, tels que l’ASEAN, l’APEC ou le Global CBPR Forum. Par ailleurs, la CNIL entend renforcer sa mission de conseil auprès du gouvernement français sur les questions internationales de régulation numérique, notamment en matière de transferts internationaux de données et de normes de protection applicables.
    Le troisième axe vise à consolider l’influence européenne et internationale de la CNIL. L’objectif est de maintenir sa position d’autorité de référence, en assurant une veille active sur les évolutions juridiques, économiques et technologiques touchant à la protection des données. Ce volet vise également à anticiper les pratiques émergentes afin d’anticiper et d’adapter en continu les outils de régulation et de garantir un haut niveau de protection. L’adoption de cette stratégie illustre la volonté de la CNIL de s’affirmer comme acteur structurant au sein des écosystèmes régulateurs de la protection des données.

Intelligence artificielle et services publics : la CNIL publie le bilan de son « bac à sable » 2023-2024

  • Le programme de la CNIL, d’une durée de six mois, a permis à trois projets d’amélioration des services publics par un recours à l’intelligence artificielle (IA), de bénéficier d’un accompagnement juridique et technique individualisé.
    L’objectif de la CNIL était de clarifier les exigences juridiques du RGPD et d’émettre, au cas par cas, des recommandations concrètes aux fins de conformité des traitements de données personnelles associés aux systèmes d’IA en cause.
    Le premier projet intitulé « Conseils Personnalisés » mis en œuvre par France Travail repose sur l’utilisation locale du modèle Mixtral (modèle déployé « on premise »), dans le but de générer automatiquement des propositions de parcours de formation adaptées au profil du demandeur d’emploi. La CNIL a examiné ce dispositif à l’aune de l’article 22 du RGPD, qui interdit en principe les décisions individuelles fondées exclusivement sur un traitement automatisé. Dans ce cadre, elle a estimé que les agents de France Travail conservent une autonomie décisionnelle effective dans le processus décisionnel, et bénéficient d’une information suffisante pour comprendre le fonctionnement de l’outil et exercer un contrôle critique sur ses propositions, ce qui permet de considérer que l’utilisation de ce système n’est pas interdite par le RGPD. La CNIL a néanmoins formulé des recommandations sur le respect du principe de minimisation des données (RGPD, art. 5, §1, c), tant au stade de la constitution de la base d’apprentissage que dans la formulation des instructions adressées au modèle.
    Dans le cadre du projet « Ekonom’IA » porté par Nantes Métropole, la CNIL a analysé la légalité d’un traitement consistant à transmettre aux abonnés à l’eau potable une information comparative sur leur consommation, fondée sur des profils de foyers similaires. L’objectif poursuivi est d’inciter à une consommation plus responsable. La CNIL a considéré que ce traitement pouvait légitimement reposer sur la base légale de l’article 6, § 1, e) du RGPD, à savoir l’exécution d’une mission d’intérêt public. Elle a toutefois rappelé la nécessité de limiter les données collectées indirectement à celles strictement nécessaires, et d’assurer l’effectivité des droits des personnes concernées, notamment le droit d’opposition prévu à l’article 21 du RGPD.
    Le troisième projet, dénommé « PRIV-IA » et porté par la RATP, vise à expérimenter l’usage de capteurs dits « temps de vol » (ToF) permettant de générer des images basées sur la profondeur, et ainsi de limiter l’identifiabilité directe des personnes filmées. La CNIL a reconnu que ces capteurs permettent une meilleure mise en œuvre du principe de minimisation des données (RGPD, art. 5, §1, c) tout en permettant des usages opérationnels diversifiés (détection de mouvement, comptage, gestion des flux). Toutefois, elle souligne que les données produites par les capteurs ToF ne peuvent être considérées comme anonymes dès lors qu’elles peuvent être croisées avec d’autres sources, notamment les images issues de la vidéoprotection classique. Le statut de donnée personnelle reste donc applicable, et les exigences du RGPD doivent intégralement s’appliquer à ces dispositifs.
    Ce bilan publié par la CNIL apporte des clarifications importantes sur l’application du RGPD à des projets intégrant des systèmes d’IA et visant le secteur public.

Intelligence artificielle et donnée personnelle : ouverture d’une enquête formelle à l’encontre du réseau social X par la Data Protection Commission (DPC)

  • La Data Protection Commission (DPC), l’autorité irlandaise de protection des données, a ouvert une enquête à l’encontre de X Internet Unlimited Company (XIUC), responsable du traitement des données personnelles des utilisateurs de l’Union européenne (UE) et de l’Espace économique européen (EEE) du réseau social X. Cette procédure vise à évaluer la conformité du recours aux données personnelles contenues dans des messages publics pour la formation des modèles d’IA générative Grok développés par xAI.
    Cette procédure a été initiée conformément à l’article 110 de la loi irlandaise de 2018 sur la protection des données, qui permet à la DPC de procéder à des investigations lorsqu’un traitement pourrait porter atteinte aux droits et libertés des personnes concernées.
    L’objectif de l’enquête est d’examiner la conformité du traitement des données personnelles aux exigences du RGPD, notamment les principes de licéité, de transparence et de finalité. Le traitement de messages publics contenant des données personnelles par XIUC pour entraîner des modèles d’IA soulève plus particulièrement des interrogations concernant les exigences des articles 5 et 6 du RGPD, notamment en ce qui concerne le fondement juridique du traitement.
    Dans le cadre de cette procédure, la DPC devra vérifier si XIUC a respecté ses obligations en tant que responsable du traitement. Cela inclut l’examen de la conformité de l’information fournie aux personnes concernées (RGPD, art. 13), la réalisation éventuelle d’une analyse d’impact relative à la protection des données (article 35 du RGPD), ainsi que le respect des principes de minimisation des données et de limitation des finalités (RGPD, art. 5.1). L’utilisation de contenus publics à des fins d’entraînement des modèles d’IA, différente de la finalité initiale de publication, nécessite en effet une évaluation rigoureuse de la nécessité et de la proportionnalité du traitement envisagé.

Pouvoirs d’enquête de la CNIL et droit de ne pas s’incriminer

  • Le Conseil d’Etat confirme la distinction entre les enquêtes à caractère administratif et les procédures répressives : le droit au silence ne s’impose pas dans les enquêtes administratives de la CNIL.
    La société Criteo a soulevé une question prioritaire de constitutionnalité (QPC) à l’encontre de l’article 19 de la loi Informatique et Libertés du 6 janvier 1978, estimant que les pouvoirs d’enquête de la CNIL porteraient atteinte au principe de non-auto incrimination, protégé par l’article 9 de la Déclaration des droits de l’homme et du citoyen. La société Criteo soutient que même si l’article 19 n’impose pas explicitement une obligation de parler, il crée un contexte où la personne peut se sentir obligée de coopérer pleinement.
    Par conséquent, le Conseil d’État devait se prononcer sur la question suivante : la loi de 1978 viole-t-il le droit de ne pas s’incriminer soi-même en ne prévoyant pas que les agents de la CNIL doivent informer les personnes concernées de leur droit de garder le silence lors des contrôles ?
    Le Conseil d’État estime que les dispositions en cause encadrent les pouvoirs d’enquête administrative de la CNIL et non une procédure pénale ou quasi pénale ; que ces dispositions n’ont ni pour objet ni pour effet de recueillir les aveux ou déclarations d’une personne mise en cause pour des faits susceptibles de conduire à une sanction ; que dès lors, le droit au silence n’a pas à être notifié dans ce cadre ; que la question soulevée n’est ni nouvelle ni sérieuse, au sens de l’article 23-5 de l’ordonnance organique du 7 novembre 1958.
    Par conséquent, le Conseil d’État décide qu’il n’y a pas lieu de renvoyer la QPC au Conseil constitutionnel. (CE, 18 avr. 2025, n° 482872, Société Criteo)

Contrat informatique

L’incendie d’un datacenter n’est pas une force majeure pour le prestataire de services numériques

  • Dans un jugement du 11 avril 2025, le Tribunal judiciaire de Versailles a précisé que l’incendie d’un datacenter ne constitue pas, en soi, un cas de force majeure exonérant un prestataire de services numériques de sa responsabilité contractuelle.
    En l’espèce, un cabinet d’avocats sollicitait la condamnation de son prestataire, la société éditrice du logiciel de gestion JARVISLEGAL, pour des manquements contractuels liés à des interruptions de service et à la perte de données clients. En défense la société a invoqué l’incendie survenu en mars 2021 dans le datacenter de son hébergeur OVH comme un cas de force majeure ayant rendu les données inaccessibles. Le Tribunal a cependant rejeté cet argument au motif que le prestataire n’avait pas respecté ses engagements contractuels relatifs à la sauvegarde des données sur plusieurs sites distincts.
    En effet, le contrat conclu entre les parties prévoyait explicitement une obligation de duplication des données auprès d’au moins deux hébergeurs distincts, localisés géographiquement sur des sites différents. En ne recourant qu’à un seul hébergeur (OVH), la société défenderesse a contrevenu à cette obligation contractuelle, ce qui, selon le Tribunal, exclut la qualification de force majeure au sens de l’article 1218 du Code civil. Le juge considère en effet que l’événement invoqué ne remplissait pas les conditions cumulatives de la force majeure, à savoir l’imprévisibilité et l’irrésistibilité, dès lors qu’une exécution conforme du contrat aurait permis d’en éviter les effets. Ce manquement a été qualifié de faute contractuelle engageant la responsabilité de la société prestataire.
    Par ailleurs, le Tribunal a retenu d’autres manquements contractuels imputables au prestataire. Il a notamment constaté une inexécution fautive des obligations contractuelles relatives à la restitution des données, consécutive à la résiliation tacite du contrat intervenue en mars 2022 à l’initiative du cabinet d’avocats demandeur. Conformément aux articles 12, paragraphe 3, et 20 du RGPD, le responsable du traitement est tenu de répondre aux demandes d’exercice des droits des personnes concernées dans un délai d’un mois et de garantir la portabilité des données dans un format structuré, couramment utilisé et lisible par machine. Or, en l’espèce, la restitution est intervenue au-delà de ce délai sans notification préalable de prorogation, et de manière partiellement non conforme. La société n’avait ni proposé de plan de réversibilité ni fourni le modèle physique et conceptuel des données, ce qui était pourtant contractuellement prévu.
    Le Tribunal a ainsi retenu la responsabilité contractuelle de la société prestataire, entraînant une désorganisation du cabinet d’avocats demandeur, et l’a condamnée à des dommages et intérêts. (TJ Versailles, RG n° 24/00224)

Régulation de l’espace numérique

Composition du réseau national de coordination de la régulation des services numériques

  • Ce décret établit la liste des services de l’État qui sont membres du réseau national pour la coordination de la régulation des services numériques. Ce réseau est chargé de contribuer à la régulation coordonnée des services numériques, en lien avec les autorités administratives indépendantes désignées par la loi.
    Le texte précise les entités qui ont vocation à constituer ce réseau et qui relèvent de divers ministères. Ainsi, au titre des services du Premier ministre, se trouvent : l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la Direction interministérielle du numérique (DINUM), ou encore le Service de vigilance contre les ingérences numériques étrangères. Sont également désignées les directions générales des ministères de la justice, de l’intérieur, de l’éducation nationale, des affaires étrangères, de la culture, de l’économie et de la santé. Le décret vise également des structures spécifiques, telles que le Pôle d’expertise de la régulation numérique.
    Le réseau formé par ces services constitue l’ossature administrative permettant la mise en œuvre des obligations du règlement sur les services numériques (DSA) au niveau national, par le biais d’une régulation renforcée et coordonnée. Ce réseau a pour mission d’assurer les échanges d’informations entre ses membres, de coordonner les régulations et de structurer une approche globale autour des enjeux d’équité, d’innovation, de protection et de compétitivité. Le décret formalise ainsi l’implication opérationnelle des services étatiques dans cette architecture de gouvernance numérique.
    Il est également important de relever que l’article 2 du décret étend son application aux îles Wallis et Futuna, la Nouvelle-Calédonie et la Polynésie française.
    L’entrée en vigueur de ce texte est prévue immédiatement, ce qui garantit sa pleine effectivité dans le cadre du renforcement des dispositifs nationaux de régulation du numérique. (Décr. n° 2025-346 du 15 avril 2025 portant application de l’article 7-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique)

Observations de la Commission du 1er avril 2025 sur le décret relatif à l’article 29 de la loi visant à sécuriser et réguler l’espace numérique (SREN)

  • Dans le cadre de la procédure de notification prévue par la directive (UE) 2015/1535, les autorités françaises avaient notifié à la Commission européenne, le 9 janvier 2025, le projet de décret susmentionné. Ce dernier vise à préciser les modalités techniques et procédurales d’application des exigences essentielles de la loi SREN en matière d’interopérabilité et de portabilité des services cloud.
    Le projet notifié prévoit notamment de confier à l’ARCEP la mission d’élaborer, à l’issue d’une consultation publique, des spécifications techniques destinées à favoriser l’interopérabilité entre les services d’informatique en nuage, ainsi qu’à assurer la portabilité des données et des actifs numériques entre fournisseurs. L’ARCEP est chargée de définir les modalités de mise en œuvre de ces exigences, avec une échéance fixée au 12 septembre 2025. Ces règles doivent permettre aux utilisateurs de changer de fournisseur de services cloud sans rencontrer d’obstacles techniques et garantir un accès fluide aux services proposés par différentes plateformes cloud.
    La Commission européenne a pris connaissance du projet notifié et a, dans un premier temps, salué les objectifs du projet, en particulier la réduction des obstacles techniques à la concurrence dans le secteur du cloud computing. Elle a également souligné la cohérence du projet avec les récentes initiatives réglementaires européennes, notamment le règlement (UE) 2023/2854 sur l’accès aux données (Data Act) et le règlement (UE) 2022/1925 sur les marchés numériques (Digital Markets Act), qui visent à garantir des conditions de concurrence équitables dans l’économie numérique, y compris pour les services cloud.
    Toutefois, la Commission a exprimé certaines réserves concernant l’application du projet aux contrôleurs d’accès au sens du règlement sur les marchés numériques. Elle a indiqué qu’imposer des obligations nationales supplémentaires aux fournisseurs de services de cloud, s’ils venaient à être désignés comme contrôleurs d’accès, pourrait compromettre l’harmonisation des règles au niveau européen et contribuer à la fragmentation du marché intérieur. En conséquence, elle a invité les autorités françaises à prendre en compte ces éléments avant l’adoption définitive du décret, afin de préserver les principes d’équité, de transparence et de cohérence au sein du marché unique numérique.