IA Act, Data Act, DSA : L'architecture de la surveillance numérique se met en place

Au programme cette semaine

• Data Act : Entrée en application du règlement, imposant de nouvelles règles de partage des données pour les objets connectés et les services cloud.

• DSA : Annulation par le Tribunal de l'UE des décisions de la Commission fixant les redevances de surveillance pour Meta et TikTok, créant une incertitude sur le financement de la régulation.

• IA Act : Publication du projet français de répartition des autorités de surveillance, privilégiant une approche sectorielle.

• GDPR : Sanction de l'autorité grecque contre un opérateur télécom, rappelant la permanence du risque de sécurité et l'attention des régulateurs sur les mesures techniques et organisationnelles.

• Géopolitique & Tech : Confirmation par le Tribunal de l'UE des mesures restrictives contre une entité IT russe, illustrant l'imbrication croissante de la régulation technologique et des sanctions internationales.

Légende des indicateurs d'impact : 🔴 Action immédiate requise (< 3 mois) ; 🟠 Plan d'action recommandé (3-12 mois) ; 🔵 Veille active (> 12 mois).

🗞️ Revue de presse

Régulation

🔴 Data Act : Le partage des données devient une obligation. À compter de ce 12 septembre 2025, le Règlement sur les données (Data Act) est applicable. Ce texte, pilier de la stratégie européenne pour les données, impose un changement de paradigme dans l'accès et l'utilisation des données générées par les produits connectés (IoT). Les utilisateurs, qu'ils soient entreprises ou consommateurs, disposent désormais d'un droit d'accès à ces données et peuvent exiger leur partage avec des tiers, comme des services de réparation indépendants. L'enjeu pratique est immédiat : les fabricants et fournisseurs de services connectés, y compris hors UE, doivent disposer des infrastructures techniques et contractuelles pour répondre à ces demandes, souvent sans frais pour l'utilisateur. Le règlement facilite également la portabilité des données et le changement de fournisseur de services cloud, en interdisant progressivement les frais de migration.

Source : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32023R2854

🟠 IA Act : La France dévoile son projet de gouvernance. Le 9 septembre 2025, le gouvernement français a publié son projet de répartition des compétences pour la supervision de l'AI Act, optant pour une architecture décentralisée qui s'appuie sur les expertises existantes. Plutôt que de créer un régulateur unique, le projet confie la coordination de la surveillance du marché à la DGCCRF. La CNIL hérite d'un rôle central pour le contrôle du respect des droits fondamentaux et la supervision de la plupart des systèmes à haut risque, ainsi que des pratiques interdites. Les autorités sectorielles (ex: Arcom pour les processus démocratiques, autorités judiciaires pour la justice) conserveront leur compétence. Pour les entreprises, cette approche sectorielle implique une complexité accrue : il sera nécessaire de cartographier précisément ses systèmes d'IA pour identifier non seulement le niveau de risque, mais aussi l'autorité de tutelle compétente.

Source : https://presse.economie.gouv.fr/la-dge-et-la-dgccrf-publient-le-projet-de-designation-des-autorites-nationales-en-charge-de-la-mise-en-oeuvre-du-reglement-europeen-sur-lia

🟠 Sanctions UE : Le Tribunal valide les mesures contre l'entité IT russe Positive Group. Le Tribunal de l'Union européenne a rejeté le recours de Positive Group PAO, confirmant son inscription sur la liste des sanctions en lien avec la guerre en Ukraine. La décision s'appuie sur le statut de l'entreprise en tant qu'acteur du secteur des technologies de l'information et sa licence délivrée par les services de renseignement russes. Cet arrêt solidifie le lien entre le secteur technologique et le régime des sanctions. Pour les entreprises européennes, il impose une vigilance accrue dans les

due diligences sur les partenaires, sous-traitants et fournisseurs de la tech, particulièrement ceux ayant des liens, même indirects, avec des juridictions sous sanctions. L'analyse de risque ne peut plus se limiter aux aspects commerciaux mais doit intégrer une dimension géopolitique, transformant la gestion des tiers d'un exercice de conformité GDPR/NIS2 à un enjeu de sécurité internationale.

Source : https://curia.europa.eu/jcms/jcms/j_6/

Tech & Sécurité

🔴 GDPR : L'autorité grecque sanctionne un opérateur télécom pour violation de données. L'autorité de protection des données hellénique (HDPA) a infligé des amendes à une entreprise de télécommunications et à son sous-traitant pour une violation de données personnelles et des mesures de sécurité jugées insuffisantes. L'annonce, relayée par le site de l'EDPB, confirme la continuité des actions de contrôle sur les fondamentaux du GDPR, même alors que l'attention se porte sur les nouvelles réglementations. Ce cas rappelle que la conformité aux articles 32 (sécurité du traitement) et 33/34 (notification de violation) du GDPR reste un point de friction majeur et une source de sanctions. L'implication du sous-traitant souligne l'importance critique de l'audit et du suivi contractuel de la chaîne de traitement des données. Une revue des clauses de sécurité et des procédures de notification des sous-traitants est recommandée.

Source : https://www.edpb.europa.eu/news/news_fr

🔍 Zoom / Décryptage

Redevance de surveillance DSA : le Tribunal annule les décisions de la Commission et impose un "reset" méthodologique.

Le 10 septembre 2025, le Tribunal de l'UE a rendu un arrêt majeur dans les affaires jointes T-55/24 et T-58/24, annulant les décisions de la Commission européenne qui fixaient le montant de la redevance de surveillance due par Meta et TikTok au titre du Digital Services Act (DSA). L'arrêt ne remet pas en cause le principe de la redevance, mécanisme par lequel les Très Grandes Plateformes en Ligne (VLOPs) financent les coûts de leur propre surveillance par la Commission. Il sanctionne en revanche sévèrement le manque de transparence et de justification de l'exécutif européen dans le calcul des coûts imputés.

Cette décision marque le premier contrôle juridictionnel significatif des pouvoirs d'exécution de la Commission sous l'empire des nouvelles régulations numériques. Elle établit un précédent selon lequel la Cour de Justice de l'Union européenne (CJUE) ne se contentera pas de valider la substance des textes, mais exercera un contrôle rigoureux sur la manière dont la Commission les met en œuvre administrativement.

Impact Conformité

L'annulation a un effet immédiat : la Commission doit revoir sa copie. Elle dispose de douze mois pour adopter de nouvelles décisions fondées sur une méthodologie de calcul claire, détaillée et vérifiable. Pour les autres VLOPs, cet arrêt constitue un précédent puissant. Il ouvre la voie à des contestations similaires si les futures notifications de redevance manquent de granularité. L'obligation de la Commission de détailler les "coûts estimés" (Art. 43 DSA) est désormais interprétée de manière stricte par le juge. La charge de la preuve de la justification des coûts (personnel, infrastructures, frais généraux) pèse lourdement et exclusivement sur la Commission. Cela pourrait encourager une posture plus contentieuse de la part des plateformes sur d'autres actes d'exécution, comme les décisions de désignation ou les demandes d'information.

Impact Contractuel

Bien que l'impact direct soit financier et réglementaire, les implications contractuelles sont indirectes. Les entreprises concernées doivent revoir leurs provisions pour charges réglementaires, introduisant une volatilité là où une dépense fixe était anticipée. Dans les relations intra-groupe, les accords de refacturation de ces coûts entre les entités européennes (par exemple, Meta Platforms Ireland) et les sociétés mères (souvent américaines) devront être ajustés pour refléter l'incertitude sur le montant final de la redevance. Les clauses relatives aux "coûts de conformité réglementaire" dans les contrats avec de grands partenaires commerciaux ou publicitaires pourraient également être affectées, nécessitant une révision pour clarifier la répartition du risque réglementaire.

Impact Opérationnel

Les équipes juridiques et financières des VLOPs doivent se préparer à un processus de contestation plus structuré. L'action à considérer est la mise en place d'une procédure interne d'analyse approfondie de toute future notification de redevance de la Commission. Cela implique de préparer des demandes d'information détaillées pour obtenir la ventilation des coûts et de mandater des experts pour auditer la pertinence des montants réclamés. L'anticipation d'un contentieux potentiel devient un élément central de la gestion de la conformité DSA. La décision du Tribunal envoie un signal clair : la Commission ne bénéficie pas d'un chèque en blanc pour financer ses activités de surveillance. Le pouvoir de supervision de l'exécutif européen est encadré par les principes de bonne administration et de transparence, un levier que les acteurs régulés sont désormais invités à actionner.

Source : https://curia.europa.eu/jcms/jcms/Jo2_7052/fr/) (https://www.solutions-numeriques.com/le-tribunal-de-lue-annule-les-decisions-de-la-commission-sur-les-redevances-de-meta-et-tiktok/

🔭 Radar Réglementaire

• Programme de travail 2025-2026 du Comité de Supervision Coordonnée (CSC) de l'EDPB.

  Le programme couvre la période 2025-2026, avec une mise en œuvre progressive des actions de supervision.

  Le changement majeur est l'extension de la supervision coordonnée aux systèmes d'information à grande échelle de l'UE dans le domaine Justice et Affaires Intérieures (JAI), comme EES, ETIAS, et l'interopérabilité des bases de données. Cela complexifie la cartographie des flux de données pour les entreprises interagissant avec ces systèmes (transport, tourisme, etc.) et accroît le risque lié à la qualité et à l'exactitude des données partagées avec les autorités. La clarification de la répartition des rôles (responsable, sous-traitant) dans cet écosystème interconnecté sera un point de conformité critique.

  Source: https://www.edpb.europa.eu/our-work-tools/our-documents/csc-work-programme/csc-work-programme-2025-2026_en

• Programme de travail "Digital Europe" 2025-2027.

  Appels à projets et financements déployés sur la période 2025-2027.

  Ce programme de financement de 1,3 milliard d'euros n'est pas un texte de régulation, mais il signale les priorités technologiques et politiques de la Commission. L'accent mis sur l'IA générative, les "AI Factories", la cyber-résilience, et le portefeuille d'identité numérique européen (

  EU Digital Identity Wallet) indique les domaines où de futures normes techniques, bonnes pratiques, voire régulations sectorielles, sont susceptibles d'émerger. Les entreprises qui s'alignent sur ces priorités peuvent bénéficier de financements, mais doivent aussi anticiper un encadrement normatif croissant.

  Source : https://bdva.eu/news/digital-europe-work-programme-2025-2027/

📚 À lire / À voir / À écouter

À lire

Un livre blanc sur l'AI Act, offrant une analyse pratique des obligations pour les fournisseurs et déployeurs de systèmes d'IA. Il couvre les définitions clés, la classification par le risque, et la gouvernance du règlement. C'est un outil synthétique et opérationnel pour les équipes juridiques qui commencent à transposer les exigences de l'AI Act en plans d'action concrets, particulièrement utile pour sa structuration autour des différents statuts et niveaux de risque.

(https://formation.lefebvre-dalloz.fr/livre-blanc/ia-act-le-nouveau-cadre-juridique-europeen-de-lia)

À voir

Le replay de la conférence "Intelligence artificielle, régulation et droits humains : réflexions croisées", organisée par l'Agence Française de Développement. La conférence offre une perspective "développement et droits humains" sur la régulation de l'IA, un angle souvent absent des discussions purement techniques ou commerciales. Elle permet de contextualiser l'AI Act dans un cadre éthique plus large et d'anticiper les arguments qui seront soulevés par la société civile et les ONG.

(https://www.afd.fr/fr/actualites/agenda/intelligence-artificielle-regulation-et-droits-humains-reflexions-croisees)

À écouter

Les podcasts du cabinet Haas Avocats sur le droit du numérique et de la propriété intellectuelle. Ce format audio permet une veille juridique efficace sur des sujets pointus du droit des nouvelles technologies. Il illustre une tendance de fond dans la communication des experts juridiques, qui adoptent des formats plus dynamiques pour décrypter des sujets complexes pour un public professionnel.

Podcasts sur le droit du numérique et de la PI – Haas Avocats –

🎯 Conclusion

La semaine écoulée confirme que le centre de gravité de la régulation numérique européenne s'est déplacé de l'élaboration de la norme vers son application concrète et sa contestation judiciaire.