Sollicitée par une initiative citoyenne, la Cour des comptes publie son rapport de contrôle de la gestion de la CNIL. Principal point d’attention : la politique de gestion des ressources humaines de l’autorité.
De 8 360 en 2017, le nombre de plaintes déposées par des particuliers auprès de la Commission nationale de l’informatique et des libertés (CNIL) est passé à 17 772 en 2024, soit une augmentation de 113 %. Sur la même période, l’autorité administrative indépendante est passée de 88 contrôles effectués en 2017 à 390 en 2024 (soit + 343 %), ce qui lui a permis de recouvrer un total de 649 millions d’euros d’amendes sur la période.
Sollicitée par une initiative citoyenne, la Cour des comptes remet ce 4 juin le rapport de son contrôle des comptes et de la gestion de la CNIL pour les années 2017 à 2025. Découpé en trois axes, l’un dédié aux évolutions concrètes des missions de la CNIL, le suivant aux règles d’indépendance et d’impartialité de l’autorité, le troisième à sa gestion budgétaire, le rapport dresse un constat globalement positif.
Il alerte néanmoins sur le manque de recouvrement des plus petites amendes, et incite la CNIL à faire évoluer sa politique de gestion des ressources humaines. Actuellement très favorable, notamment pour soutenir l’expansion des activités d’accompagnement et de contrôle de l’institution, avec des embauches en CDI et des augmentations quasi-automatiques, pour tout le monde, cette dernière pourrait devenir problématique alors que les missions de l’autorité sont vouées à s’étendre à nouveau dans le cadre de l’application du règlement européen sur l’intelligence artificielle.
Évolution des missions
Depuis 2022, la Cour des comptes ouvre régulièrement des campagnes pour permettre aux Français de lui remonter les sujets sur lesquels ils estiment nécessaire d’étudier le « bon usage de l’argent public ». Ouverte le 11 mai, la campagne 2026 court jusqu’au 22 juin. La Cour des comptes étudie ensuite les sujets qui lui sont soumis pour mener certains de ses travaux.
Il reste 82% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
La Commission des affaires culturelles de l’Assemblée nationale a adopté mardi 2 juin la proposition de loi qui prévoit la présomption d’utilisation des contenus culturels par les acteurs de l’IA au nom de la défense du droit d’auteur. Dénoncé par ses opposants comme un bâton tendu dans les roues du champion national Mistral, le texte sera débattu en séance publique le 11 juin prochain.
Le Sénat a voté le 8 avril dernier à l’unanimité la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle ». Le texte, réclamé à cor et à cri par les sociétés de gestion de droits françaises, dispose au travers d’un article unique un principe simple : l’inversion de la charge de la preuve concernant l’utilisation de contenus protégés par le droit d’auteur ou un droit voisin par les éditeurs de systèmes d’intelligence artificielle.
Dit autrement : aujourd’hui, il appartient à l’éditeur ou à l’auteur de démontrer qu’un éditeur d’IA a utilisé son œuvre pour l’entraînement de ses modèles. Demain, si la loi est adoptée, cette utilisation est présumée « dès lors qu’un indice afférent au développement ou au déploiement de ce système ou au résultat généré par celui-ci rend vraisemblable cette utilisation ». La mesure contraindrait, selon les défenseurs du texte, les grands noms de l’IA à passer des accords financiers avec les sociétés d’auteur pour se prémunir d’éventuelles poursuites, et contribuerait donc in fine à rémunérer la création culturelle.
Inversion de la charge de la preuve confirmée en Commission
« Ce ne sera plus au créateur de prouver le moissonnage de son œuvre, mais au fournisseur d’IA de prouver qu’il ne l’a pas utilisée. Notre objectif n’est pas de multiplier les procès, mais d’inciter les acteurs de l’IA à abandonner certains comportements de prédation pour un modèle fondé sur la transparence et la négociation. Aujourd’hui, les créateurs ne négocient pas ; ils subissent », faisait valoir en séance la sénatrice Agnès Evren (LR), auteure de la proposition de loi.
Après le Sénat, le texte a fait ses débuts, mardi 2 juin, à l’Assemblée nationale, dans le cadre d’un vote organisé à l’échelle de la commission des affaires culturelles et de l’éducation. Les débats s’y sont révélés relativement consensuels, la plupart des groupes représentés estimant, à l’exception du RN, que le texte défendait efficacement le droit d’auteur face au pillage orchestré par les acteurs de l’IA, sans pour autant obérer les chances de développement économique du secteur.
Le député Éric Bothorel (Côtes-d’Armor, Ensemble pour la République) a tout de même défendu un argument demandant la suppression de l’article unique, expliquant que ce dernier allait créer des risques juridiques, et qu’il serait préférable d’opter pour une obligation de transparence inspirée de ce que contient déjà l’article 34 du DSA. Un autre amendement, déposé par Prisca Thevenot (Renaissance, ex porte-parole du gouvernement Attal) proposait d’amoindrir la portée du texte en réduisant le seuil de déclenchement de la présomption d’utilisation. Les deux ont été rejetés, comme les 14 autres déposés, ce qui signifie que l’Assemblée nationale étudiera l’article unique de la proposition de loi tel qu’il est sorti des débats au Sénat. Elle a été placée à l’ordre du jour de la séance publique du 11 juin, et les débats s’y révèleront peut-être moins policés qu’en commission.
L’article unique de la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle » tel que voté par le Sénat
Il faut sauver le soldat Mistral
Certains ont en effet déjà annoncé leur intention de lutter contre l’adoption du texte au nom de la défense des intérêts français en matière de compétitivité sur le terrain de l’IA. C’est le cas du député Paul Midy (5e circonscription de l’Essonne), qui s’est alarmé publiquement mercredi de l’adoption du texte en commission, y voyant une entrave au développement du champion français du secteur, Mistral AI.
« Dans notre pays, tous les criminels ont le droit à la présomption d’innocence, même les terroristes et les pédophiles. Et les fournisseurs d’IA n’y auraient pas le droit ? On voudrait donc mieux traiter dans ce pays les terroristes et les pédophiles qu’Arthur Mensch ? », écrit le député, qui dit encore voir dans cette loi « un signal particulièrement préoccupant envoyé à l’un des secteurs les plus stratégiques pour l’avenir économique de notre pays ».
Sans même relever la comparaison outrancière osée par Paul Midy, la question de la légalité du renversement de la charge de la preuve a été éclaircie en amont par les défenseurs du texte, qui revendiquent une validation a priori par le Conseil d’État, et font par ailleurs valoir que l’esprit de la proposition de loi s’inscrit dans la lignée des recommandations formulées dans le récent rapport d’Alex Voss voté le 11 mars dernier au Parlement européen qui invite lui aussi à établir une « présomption réfragable ».
Il est en revanche probable que la proposition de loi ne fasse effectivement pas les affaires de Mistral AI et des autres acteurs du secteur. Arthur Mensch, PDG de Mistral, a multiplié les apparitions médiatiques et politiques ces dernières semaines pour dénoncer les risques d’un décrochage européen en matière d’innovation, un risque qu’aggraverait selon lui de nouvelles réglementations. L’entreprise se serait également livrée à un lobbying actif, révèle le Point, en faisant parvenir des argumentaires aux membres de la commission des affaires culturelles.
Certains soutiens du texte estiment par ailleurs que c’est en raison de pressions exercées par les acteurs de la tech que le texte a mis si longtemps à rejoindre formellement l’agenda de l’Assemblée nationale. Son examen n’a en effet pas été retenu par la conférence des présidents de groupe, et c’est via la niche parlementaire du groupe GDR (Gauche démocrate et républicaine) qu’il va finalement trouver le chemin de l’hémicycle le 11 juin prochain.
Quand le New York Times appelle les médias à résister
À lobbying, lobbying et demi. On sait, chez Next, le poids qu’ont pu avoir les sociétés d’auteur lorsqu’il s’est agi de débattre des propositions de loi visant à lutter, au pif, contre le téléchargement illégal. Et en matière de droit d’auteur à l’ère de l’IA, les sociétés d’auteur, syndicats liés à l’édition culturelle et groupements d’éditeur de presse semblent bien décidés à faire front commun. En témoigne la publication, fin avril, d’une tribune cosignée par 81 organisations professionnelles, et que plus de 25 000 internautes auraient également signée (au travers d’un formulaire Google Docs, sic).
Dans le petit Landerneau des médias, le sujet vient de recevoir d’un coup de projecteur particulier. A.G. Sulzberger, le patron du New York Times est en effet intervenu le 1er juin à Marseille, lors du colloque annuel de la WAN-IFRA, l’association internationale des éditeurs de presse, et il a tenu un discours particulièrement vindicatif à l’égard des acteurs de l’IA, qu’il accuse de sciemment piller le monde des médias au risque de compromettre la viabilité à moyen terme des producteurs d’information.
« Leur mainmise sur l’espace public est rendue possible par le péché originel qui anime leurs produits d’IA : un vol éhonté de propriété intellectuelle d’une ampleur sans précédent. Les géants de la tech pillent les sites d’information sans autorisation ni compensation. Ils reconditionnent ces contenus volés sous leur propre marque, s’accaparant ainsi l’audience et les revenus qui, autrement, reviendraient aux organes de presse à l’origine de ces travaux. Et cela se produit non pas une seule fois lors de la phase d’apprentissage, mais d’innombrables fois chaque jour », a notamment déclaré A.G. Sulzberger.
Rappelons que le quotidien s’est engagé dans un long bras de fer juridique avec OpenAI et Microsoft au sujet de l’utilisation non consentie de ses contenus. En France, certains médias ou groupes média ont noué des accords au cas par cas avec certains acteurs de l’IA (Le Monde a par exemple signé avec OpenAI puis avec Perplexity), mais les autres en sont pour l’instant réduits au contentieux. L’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français viennent ainsi d’assigner l’éditeur du navigateur Brave en justice, pour tenter d’obtenir une jurisprudence favorable.
La Commission des affaires culturelles de l’Assemblée nationale a adopté mardi 2 juin la proposition de loi qui prévoit la présomption d’utilisation des contenus culturels par les acteurs de l’IA au nom de la défense du droit d’auteur. Dénoncé par ses opposants comme un bâton tendu dans les roues du champion national Mistral, le texte sera débattu en séance publique le 11 juin prochain.
Le Sénat a voté le 8 avril dernier à l’unanimité la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle ». Le texte, réclamé à cor et à cri par les sociétés de gestion de droits françaises, dispose au travers d’un article unique un principe simple : l’inversion de la charge de la preuve concernant l’utilisation de contenus protégés par le droit d’auteur ou un droit voisin par les éditeurs de systèmes d’intelligence artificielle.
Dit autrement : aujourd’hui, il appartient à l’éditeur ou à l’auteur de démontrer qu’un éditeur d’IA a utilisé son œuvre pour l’entraînement de ses modèles. Demain, si la loi est adoptée, cette utilisation est présumée « dès lors qu’un indice afférent au développement ou au déploiement de ce système ou au résultat généré par celui-ci rend vraisemblable cette utilisation ». La mesure contraindrait, selon les défenseurs du texte, les grands noms de l’IA à passer des accords financiers avec les sociétés d’auteur pour se prémunir d’éventuelles poursuites, et contribuerait donc in fine à rémunérer la création culturelle.
Inversion de la charge de la preuve confirmée en Commission
« Ce ne sera plus au créateur de prouver le moissonnage de son œuvre, mais au fournisseur d’IA de prouver qu’il ne l’a pas utilisée. Notre objectif n’est pas de multiplier les procès, mais d’inciter les acteurs de l’IA à abandonner certains comportements de prédation pour un modèle fondé sur la transparence et la négociation. Aujourd’hui, les créateurs ne négocient pas ; ils subissent », faisait valoir en séance la sénatrice Agnès Evren (LR), auteure de la proposition de loi.
Après le Sénat, le texte a fait ses débuts, mardi 2 juin, à l’Assemblée nationale, dans le cadre d’un vote organisé à l’échelle de la commission des affaires culturelles et de l’éducation. Les débats s’y sont révélés relativement consensuels, la plupart des groupes représentés estimant, à l’exception du RN, que le texte défendait efficacement le droit d’auteur face au pillage orchestré par les acteurs de l’IA, sans pour autant obérer les chances de développement économique du secteur.
Le député Éric Bothorel (Côtes-d’Armor, Ensemble pour la République) a tout de même défendu un argument demandant la suppression de l’article unique, expliquant que ce dernier allait créer des risques juridiques, et qu’il serait préférable d’opter pour une obligation de transparence inspirée de ce que contient déjà l’article 34 du DSA. Un autre amendement, déposé par Prisca Thevenot (Renaissance, ex porte-parole du gouvernement Attal) proposait d’amoindrir la portée du texte en réduisant le seuil de déclenchement de la présomption d’utilisation. Les deux ont été rejetés, comme les 14 autres déposés, ce qui signifie que l’Assemblée nationale étudiera l’article unique de la proposition de loi tel qu’il est sorti des débats au Sénat. Elle a été placée à l’ordre du jour de la séance publique du 11 juin, et les débats s’y révèleront peut-être moins policés qu’en commission.
L’article unique de la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle » tel que voté par le Sénat
Il faut sauver le soldat Mistral
Certains ont en effet déjà annoncé leur intention de lutter contre l’adoption du texte au nom de la défense des intérêts français en matière de compétitivité sur le terrain de l’IA. C’est le cas du député Paul Midy (5e circonscription de l’Essonne), qui s’est alarmé publiquement mercredi de l’adoption du texte en commission, y voyant une entrave au développement du champion français du secteur, Mistral AI.
« Dans notre pays, tous les criminels ont le droit à la présomption d’innocence, même les terroristes et les pédophiles. Et les fournisseurs d’IA n’y auraient pas le droit ? On voudrait donc mieux traiter dans ce pays les terroristes et les pédophiles qu’Arthur Mensch ? », écrit le député, qui dit encore voir dans cette loi « un signal particulièrement préoccupant envoyé à l’un des secteurs les plus stratégiques pour l’avenir économique de notre pays ».
Sans même relever la comparaison outrancière osée par Paul Midy, la question de la légalité du renversement de la charge de la preuve a été éclaircie en amont par les défenseurs du texte, qui revendiquent une validation a priori par le Conseil d’État, et font par ailleurs valoir que l’esprit de la proposition de loi s’inscrit dans la lignée des recommandations formulées dans le récent rapport d’Alex Voss voté le 11 mars dernier au Parlement européen qui invite lui aussi à établir une « présomption réfragable ».
Il est en revanche probable que la proposition de loi ne fasse effectivement pas les affaires de Mistral AI et des autres acteurs du secteur. Arthur Mensch, PDG de Mistral, a multiplié les apparitions médiatiques et politiques ces dernières semaines pour dénoncer les risques d’un décrochage européen en matière d’innovation, un risque qu’aggraverait selon lui de nouvelles réglementations. L’entreprise se serait également livrée à un lobbying actif, révèle le Point, en faisant parvenir des argumentaires aux membres de la commission des affaires culturelles.
Certains soutiens du texte estiment par ailleurs que c’est en raison de pressions exercées par les acteurs de la tech que le texte a mis si longtemps à rejoindre formellement l’agenda de l’Assemblée nationale. Son examen n’a en effet pas été retenu par la conférence des présidents de groupe, et c’est via la niche parlementaire du groupe GDR (Gauche démocrate et républicaine) qu’il va finalement trouver le chemin de l’hémicycle le 11 juin prochain.
Quand le New York Times appelle les médias à résister
À lobbying, lobbying et demi. On sait, chez Next, le poids qu’ont pu avoir les sociétés d’auteur lorsqu’il s’est agi de débattre des propositions de loi visant à lutter, au pif, contre le téléchargement illégal. Et en matière de droit d’auteur à l’ère de l’IA, les sociétés d’auteur, syndicats liés à l’édition culturelle et groupements d’éditeur de presse semblent bien décidés à faire front commun. En témoigne la publication, fin avril, d’une tribune cosignée par 81 organisations professionnelles, et que plus de 25 000 internautes auraient également signée (au travers d’un formulaire Google Docs, sic).
Dans le petit Landerneau des médias, le sujet vient de recevoir d’un coup de projecteur particulier. A.G. Sulzberger, le patron du New York Times est en effet intervenu le 1er juin à Marseille, lors du colloque annuel de la WAN-IFRA, l’association internationale des éditeurs de presse, et il a tenu un discours particulièrement vindicatif à l’égard des acteurs de l’IA, qu’il accuse de sciemment piller le monde des médias au risque de compromettre la viabilité à moyen terme des producteurs d’information.
« Leur mainmise sur l’espace public est rendue possible par le péché originel qui anime leurs produits d’IA : un vol éhonté de propriété intellectuelle d’une ampleur sans précédent. Les géants de la tech pillent les sites d’information sans autorisation ni compensation. Ils reconditionnent ces contenus volés sous leur propre marque, s’accaparant ainsi l’audience et les revenus qui, autrement, reviendraient aux organes de presse à l’origine de ces travaux. Et cela se produit non pas une seule fois lors de la phase d’apprentissage, mais d’innombrables fois chaque jour », a notamment déclaré A.G. Sulzberger.
Rappelons que le quotidien s’est engagé dans un long bras de fer juridique avec OpenAI et Microsoft au sujet de l’utilisation non consentie de ses contenus. En France, certains médias ou groupes média ont noué des accords au cas par cas avec certains acteurs de l’IA (Le Monde a par exemple signé avec OpenAI puis avec Perplexity), mais les autres en sont pour l’instant réduits au contentieux. L’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français viennent ainsi d’assigner l’éditeur du navigateur Brave en justice, pour tenter d’obtenir une jurisprudence favorable.
Revers pour la Commission européenne et le règlement sur les marchés numériques (DMA). La Cour de justice de l’UE a en effet jugé que Meta n’était pas un contrôleur d’accès pour la Marketplace de Facebook. En revanche, l’institution confirme le statut du géant des réseaux sociaux pour Messenger.
Le 5 septembre 2023, la Commission européenne désignait les contrôleurs d’accès au titre du DMA, un club très fermé qui oblige les membres à respecter des règles contraignantes sur l’ouverture à la concurrence. Plusieurs critères ont été mis en place pour recevoir son rond de serviette : au moins 45 millions d’utilisateurs actifs par mois dans l’UE et au moins 10 000 utilisateurs professionnels par an dans l’UE au cours des trois derniers exercices ; réaliser un chiffre d’affaires d’au moins 7,5 milliards d’euros durant les trois derniers exercices.
Au même titre qu’Alphabet, Amazon, Apple, ByteDance et Microsoft, Meta a donc été désigné contrôleur d’accès. Six de ses activités étaient considérées comme des services de plateforme essentiels : Facebook, Instagram, WhatsApp, Messenger, Meta Ads et Marketplace.
« Étaient », car en avril 2025 la Commission déterminait que la plateforme de petites annonces en ligne ne devait plus faire partie des services essentiels contrôlés par le DMA. Meta avait demandé un réexamen de son service d’intermédiation en ligne en mars 2024, un pari gagnant : le régulateur européen a constaté que Marketplace comptait moins de 10 000 entreprises utilisatrices en 2024.
Des éléments « hypothétiques et incomplets »
Meta avait également introduit un recours auprès de la justice européenne pour annuler la décision prise par la Commission en septembre 2023 de qualifier Messenger et Marketplace comme points d’accès majeurs du DMA. L’entreprise a obtenu partiellement raison : la Cour de justice de l’UE annule la désignation de Meta comme contrôleur d’accès en ce qui concerne la Marketplace (PDF). En revanche, le groupe américain conserve ce statut pour Messenger.
La CJUE juge que la Commission a commis « une erreur de droit » : elle avait considéré qu’elle pouvait se fonder uniquement sur des données concernant les trois dernières années ayant précédé la désignation, sans tenir compte de modifications intervenues fin juillet 2023. Meta avait en effet limité le nombre d’annonces pouvant être publiées par utilisateur, ce qui entraînait la disparition du critère de Bruxelles pour identifier les entreprises utilisatrices.
Le tribunal a aussi constaté que la décision de la Commission était « insuffisamment motivée » : elle n’a en effet exposé « aucune analyse concrète de ces modifications », ni expliqué en quoi elles remettaient en cause ou confirmaient la qualification de Marketplace comme service d’intermédiation en ligne. « Les éléments invoqués dans la décision à cet égard demeurent notamment hypothétiques et incomplets », assène l’institution.
La Commission européenne se consolera en observant que la désignation de Messenger comme point d’accès majeur du DMA a été confirmée par la justice. Les arguments avancés par Meta n’étaient pas suffisamment étayés pour remettre en cause la qualification du service. L’entreprise peut toujours faire appel de cette décision.
La Marketplace de Facebook a fait l’objet d’une lourde sanction en novembre 2024 : la Commission avait infligé à Meta une amende de 798 millions d’euros pour pratiques abusives. Cette affaire n’avait cependant rien à voir avec le DMA, Meta ayant été condamnée pour infraction aux règles de l’Union européenne en matière de pratiques anticoncurrentielles. En avril 2025, l’entreprise a en revanche bien été sanctionnée pour violation du DMA, à hauteur de 500 millions d’euros, en l’occurrence sur le dossier des abonnements payants.
Revers pour la Commission européenne et le règlement sur les marchés numériques (DMA). La Cour de justice de l’UE a en effet jugé que Meta n’était pas un contrôleur d’accès pour la Marketplace de Facebook. En revanche, l’institution confirme le statut du géant des réseaux sociaux pour Messenger.
Le 5 septembre 2023, la Commission européenne désignait les contrôleurs d’accès au titre du DMA, un club très fermé qui oblige les membres à respecter des règles contraignantes sur l’ouverture à la concurrence. Plusieurs critères ont été mis en place pour recevoir son rond de serviette : au moins 45 millions d’utilisateurs actifs par mois dans l’UE et au moins 10 000 utilisateurs professionnels par an dans l’UE au cours des trois derniers exercices ; réaliser un chiffre d’affaires d’au moins 7,5 milliards d’euros durant les trois derniers exercices.
Au même titre qu’Alphabet, Amazon, Apple, ByteDance et Microsoft, Meta a donc été désigné contrôleur d’accès. Six de ses activités étaient considérées comme des services de plateforme essentiels : Facebook, Instagram, WhatsApp, Messenger, Meta Ads et Marketplace.
« Étaient », car en avril 2025 la Commission déterminait que la plateforme de petites annonces en ligne ne devait plus faire partie des services essentiels contrôlés par le DMA. Meta avait demandé un réexamen de son service d’intermédiation en ligne en mars 2024, un pari gagnant : le régulateur européen a constaté que Marketplace comptait moins de 10 000 entreprises utilisatrices en 2024.
Des éléments « hypothétiques et incomplets »
Meta avait également introduit un recours auprès de la justice européenne pour annuler la décision prise par la Commission en septembre 2023 de qualifier Messenger et Marketplace comme points d’accès majeurs du DMA. L’entreprise a obtenu partiellement raison : la Cour de justice de l’UE annule la désignation de Meta comme contrôleur d’accès en ce qui concerne la Marketplace (PDF). En revanche, le groupe américain conserve ce statut pour Messenger.
La CJUE juge que la Commission a commis « une erreur de droit » : elle avait considéré qu’elle pouvait se fonder uniquement sur des données concernant les trois dernières années ayant précédé la désignation, sans tenir compte de modifications intervenues fin juillet 2023. Meta avait en effet limité le nombre d’annonces pouvant être publiées par utilisateur, ce qui entraînait la disparition du critère de Bruxelles pour identifier les entreprises utilisatrices.
Le tribunal a aussi constaté que la décision de la Commission était « insuffisamment motivée » : elle n’a en effet exposé « aucune analyse concrète de ces modifications », ni expliqué en quoi elles remettaient en cause ou confirmaient la qualification de Marketplace comme service d’intermédiation en ligne. « Les éléments invoqués dans la décision à cet égard demeurent notamment hypothétiques et incomplets », assène l’institution.
La Commission européenne se consolera en observant que la désignation de Messenger comme point d’accès majeur du DMA a été confirmée par la justice. Les arguments avancés par Meta n’étaient pas suffisamment étayés pour remettre en cause la qualification du service. L’entreprise peut toujours faire appel de cette décision.
La Marketplace de Facebook a fait l’objet d’une lourde sanction en novembre 2024 : la Commission avait infligé à Meta une amende de 798 millions d’euros pour pratiques abusives. Cette affaire n’avait cependant rien à voir avec le DMA, Meta ayant été condamnée pour infraction aux règles de l’Union européenne en matière de pratiques anticoncurrentielles. En avril 2025, l’entreprise a en revanche bien été sanctionnée pour violation du DMA, à hauteur de 500 millions d’euros, en l’occurrence sur le dossier des abonnements payants.
Le tribunal correctionnel de Paris a condamné ce 2 juin le rappeur Booba, Ellie Yaffa de son vrai nom, à trois mois de prison avec sursis et 30 000 euros d’amende pour des faits de cyberharcèlement et d’injure raciale envers la journaliste de France Télévision Linh-Lan Dao.
Cette dernière a porté plainte en avril 2024, critiquant le rôle de l’artiste dans la campagne de violence qui l’avait visée après la publication d’un article de débunkage sur les liens entre vaccin à ARN messager et maladie de Creutzfeldt-Jakob.
Suivi par plus de 6 millions d’abonnés au moment des faits, Booba avait publié une capture d’écran de l’article, puis proposé à la journaliste un « strip poker sans cartes » autour d’un « wok de légumes ». Il ne s’est pas présenté à l’audience, qui s’est tenue le 1er avril 2026. À la barre, Linh-Lan Dao avait de son côté décrit la « journée horrible » de déclenchement de la campagne, à la suite de laquelle sa productivité et sa présence sur X avaient baissé.
Pour le tribunal, « la dimension sexiste du discours et celle essentialisante, à raison de ses origines asiatiques, destinées à renvoyer la journaliste Linh-Lan Dao à sa seule qualité de femme asiatique, lui confèrent à l’évidence un caractère malveillant ».
Le rappeur a été condamné à verser 4 000 euros de dommages-intérêts à la partie civile, indique l’AFP.
Dans un autre dossier étudié à la même audience, Booba par ailleurs été condamné à 20 000 euros d’amende pour injure raciale contre le chroniqueur Tristan Mendès-France, qui dénonçait sur X le cyberharcèlement visant Linh-Lan Dao. Booba avait publié des messages évoquant son nez, ce que le tribunal a qualifié de « reprise du stéréotype antisémite le plus éculé ».
Le tribunal correctionnel de Paris a condamné ce 2 juin le rappeur Booba, Ellie Yaffa de son vrai nom, à trois mois de prison avec sursis et 30 000 euros d’amende pour des faits de cyberharcèlement et d’injure raciale envers la journaliste de France Télévision Linh-Lan Dao.
Cette dernière a porté plainte en avril 2024, critiquant le rôle de l’artiste dans la campagne de violence qui l’avait visée après la publication d’un article de débunkage sur les liens entre vaccin à ARN messager et maladie de Creutzfeldt-Jakob.
Suivi par plus de 6 millions d’abonnés au moment des faits, Booba avait publié une capture d’écran de l’article, puis proposé à la journaliste un « strip poker sans cartes » autour d’un « wok de légumes ». Il ne s’est pas présenté à l’audience, qui s’est tenue le 1er avril 2026. À la barre, Linh-Lan Dao avait de son côté décrit la « journée horrible » de déclenchement de la campagne, à la suite de laquelle sa productivité et sa présence sur X avaient baissé.
Pour le tribunal, « la dimension sexiste du discours et celle essentialisante, à raison de ses origines asiatiques, destinées à renvoyer la journaliste Linh-Lan Dao à sa seule qualité de femme asiatique, lui confèrent à l’évidence un caractère malveillant ».
Le rappeur a été condamné à verser 4 000 euros de dommages-intérêts à la partie civile, indique l’AFP.
Dans un autre dossier étudié à la même audience, Booba par ailleurs été condamné à 20 000 euros d’amende pour injure raciale contre le chroniqueur Tristan Mendès-France, qui dénonçait sur X le cyberharcèlement visant Linh-Lan Dao. Booba avait publié des messages évoquant son nez, ce que le tribunal a qualifié de « reprise du stéréotype antisémite le plus éculé ».
La France est mise en cause devant la Cour européenne des droits de l’homme par une femme victime de diffusion de captations vidéo de son viol.
Face à la Cour, elle dénonce la décision de la Justice française ne pas qualifier les faits de « traite des êtres humains » et interroge la manière dont l’État a évalué le consentement.
Outre la prise de contact avec les victimes par l’intermédiaire d’un faux profil Facebook, l’affaire a par ailleurs impliqué la diffusion de « vidéos amateurs relevant de la pornographie du viol », représentant des sévices « particulièrement violents et dégradants, souvent accompagnés d’injures sexistes ou racistes ».
Sur le versant numérique, la requérante demande donc à la Cour européenne de se prononcer sur les mesures prises par les autorités françaises pour « protéger la dignité, l’intégrité et la vie privée de la requérante – victime présumée de violences sexuelles – notamment en empêchant la diffusion des vidéos la représentant lors des faits allégués ».
Comme le souligne le juriste Nicolas Hervieu, c’est la deuxième fois cette année que la France est mise en cause devant la CEDH pour une absence de suppression « rapide et définitive » des vidéos de viols accessibles en ligne.
La première plainte a été déposée par une autre femme, partie civile de l’affaire dite « French Bukkake ». Ce site internet diffusait des vidéos pornographiques et proposait aux abonnés, contre paiement, de participer à des tournages, voire d’obtenir des prestations sexuelles. Les mis en cause seront jugés aux Assises.
Dans les deux cas, les victimes qualifient la circulation des images de « victimisation secondaire », une description qui s’entend aussi du côté d’autres types de victimes de diffusion non consenties d’images à caractère sexuel (par exemple exposées à la diffusion d’images intimes initialement créées pour le cadre privé, pratique parfois qualifiée de « revenge porn »).
En 2024, Google avait été condamné par le tribunal de Paris à verser 2 000 euros à une plaignante pour avoir tardé à déréférencer des vidéos dans lesquelles elle apparaissait.
La France est mise en cause devant la Cour européenne des droits de l’homme par une femme victime de diffusion de captations vidéo de son viol.
Face à la Cour, elle dénonce la décision de la Justice française ne pas qualifier les faits de « traite des êtres humains » et interroge la manière dont l’État a évalué le consentement.
Outre la prise de contact avec les victimes par l’intermédiaire d’un faux profil Facebook, l’affaire a par ailleurs impliqué la diffusion de « vidéos amateurs relevant de la pornographie du viol », représentant des sévices « particulièrement violents et dégradants, souvent accompagnés d’injures sexistes ou racistes ».
Sur le versant numérique, la requérante demande donc à la Cour européenne de se prononcer sur les mesures prises par les autorités françaises pour « protéger la dignité, l’intégrité et la vie privée de la requérante – victime présumée de violences sexuelles – notamment en empêchant la diffusion des vidéos la représentant lors des faits allégués ».
Comme le souligne le juriste Nicolas Hervieu, c’est la deuxième fois cette année que la France est mise en cause devant la CEDH pour une absence de suppression « rapide et définitive » des vidéos de viols accessibles en ligne.
La première plainte a été déposée par une autre femme, partie civile de l’affaire dite « French Bukkake ». Ce site internet diffusait des vidéos pornographiques et proposait aux abonnés, contre paiement, de participer à des tournages, voire d’obtenir des prestations sexuelles. Les mis en cause seront jugés aux Assises.
Dans les deux cas, les victimes qualifient la circulation des images de « victimisation secondaire », une description qui s’entend aussi du côté d’autres types de victimes de diffusion non consenties d’images à caractère sexuel (par exemple exposées à la diffusion d’images intimes initialement créées pour le cadre privé, pratique parfois qualifiée de « revenge porn »).
En 2024, Google avait été condamné par le tribunal de Paris à verser 2 000 euros à une plaignante pour avoir tardé à déréférencer des vidéos dans lesquelles elle apparaissait.
Le Conseil national de l’intelligence artificielle et du numérique (CIAN) a publié le 22 mai un rapport sur la souveraineté numérique. On peut y lire notamment que la « dépendance française et européenne aux acteurs étrangers en matière d’infrastructures numériques interroge notre capacité à en maîtriser les risques ».
Dans l’ensemble, ce (long) rapport rassemble de nombreux constats déjà faits au cours des dernières années. Par exemple, que le numérique est « dominé par une poignée d’acteurs qui contrôlent, sans contre-pouvoir, des outils omniprésents dans nos vies quotidiennes », avec tous les dangers que cela suppose. Elle dresse un portrait déjà connu : un double discours étatique, des écarts béants entre intentions et décisions, un manque de coordination, un gâchis de ressources, une intervention publique fragmentée, ou encore un écosystème peu compétitif. Des éléments que la Cour des comptes avait mis en avant en octobre dernier.
Puisque le CIAN est l’organe devant conseiller le gouvernement sur ces sujets, il y va donc de ses recommandations. Le Conseil propose ainsi la création d’une Fabrique des Communs Numériques et un renforcement du mandat de l’EDIC Digital Commons (d’ailleurs installé à Paris).
Le CIAN aimerait également que soit créé un fonds européen dédié à ces communs, ainsi qu’un label European Open Standards. Cartographie nationale des briques numériques existantes, exemplarité de la commande publique, contribution à la gouvernance active des communautés open source ou encore renforcement des formations aux communs numériques sont également cités.
Le Conseil national de l’intelligence artificielle et du numérique (CIAN) a publié le 22 mai un rapport sur la souveraineté numérique. On peut y lire notamment que la « dépendance française et européenne aux acteurs étrangers en matière d’infrastructures numériques interroge notre capacité à en maîtriser les risques ».
Dans l’ensemble, ce (long) rapport rassemble de nombreux constats déjà faits au cours des dernières années. Par exemple, que le numérique est « dominé par une poignée d’acteurs qui contrôlent, sans contre-pouvoir, des outils omniprésents dans nos vies quotidiennes », avec tous les dangers que cela suppose. Elle dresse un portrait déjà connu : un double discours étatique, des écarts béants entre intentions et décisions, un manque de coordination, un gâchis de ressources, une intervention publique fragmentée, ou encore un écosystème peu compétitif. Des éléments que la Cour des comptes avait mis en avant en octobre dernier.
Puisque le CIAN est l’organe devant conseiller le gouvernement sur ces sujets, il y va donc de ses recommandations. Le Conseil propose ainsi la création d’une Fabrique des Communs Numériques et un renforcement du mandat de l’EDIC Digital Commons (d’ailleurs installé à Paris).
Le CIAN aimerait également que soit créé un fonds européen dédié à ces communs, ainsi qu’un label European Open Standards. Cartographie nationale des briques numériques existantes, exemplarité de la commande publique, contribution à la gouvernance active des communautés open source ou encore renforcement des formations aux communs numériques sont également cités.
Spliiit est dans la panade. Le service de partage d’abonnement a été lourdement condamné par le tribunal judiciaire de Paris, qui s’est largement rangé du côté d’Apple, Disney et Netflix. Outre le versement d’une provision significative, le modèle économique de Spliiit est sévèrement remis en cause.
Apple, Disney et Netflix accusaient Spliiit de parasitisme et de contrefaçon de marques. Leur plainte déposée en 2022 a connu bien des rebondissements. Jonathan Lalinec, le directeur général de Spliiit, avait expliqué en avril à Next que le procès était désormais « sans objet » : « La justice prend du temps, et entre 2021 et 2026, il s’est passé beaucoup de choses du point de vue des éditeurs ». Avant de rappeler que ces plateformes de streaming et services en ligne avaient changé leurs offres, avec l’ajout de formules « abonné supplémentaire ».
Un espoir douché par le tribunal judiciaire de Paris. Le jugement sur le fond a finalement été publié vendredi dernier et partagé par le site L’Informé. S’il n’est pas tendre pour Spliiit, le tribunal a toutefois rejeté l’idée que l’activité même de mise en relation pour partager un abonnement est automatiquement illégale : « l’activité exercée par la société Spliiit […] n’est pas en elle-même illicite ».
Capture d’écran Spliiit.
Dans un communiqué, Spliiit relève que le tribunal a rejeté les accusations de parasitisme et qu’il n’a pas retenu l’argument « selon lequel le partage de frais constituerait, en soi, une commercialisation d’abonnements ».
Le manque à gagner des plaignants
Pour le reste, le tribunal considère que le service a commis des actes de complicité de violation des conditions générales d’utilisation, des actes de concurrence déloyale et de contrefaçon de marques. Spliiit ne peut plus utiliser les marques Apple, Disney et Netflix au-delà de ce qui est strictement nécessaire, ne peut plus proposer de partage d’abonnements lorsqu’il implique une violation des conditions d’utilisation, et doit modifier plusieurs éléments de son site jugés trompeurs ou insuffisamment clairs.
Spliiit doit également verser des dommages et intérêts ; ils sont certes inférieurs à ce que demandaient les plaignants (9,2 millions d’euros), mais en tout, le service doit verser 785 000 euros. Outre les 49 000 euros de frais de procédure, l’entreprise doit verser 10 000 euros à Apple, 20 000 euros à Disney et 30 000 euros à Netflix pour contrefaçon des marques. Des provisions sont exigées pour compenser le manque à gagner subi par les sociétés plaignantes : 25 000 euros pour Apple (iCloud, Apple Music, Apple TV, etc.), 100 000 euros pour Disney, 300 000 euros pour Netflix France et autant pour Netflix International.
Cette notion de manque à gagner se base sur le fait que des consommateurs ont pu choisir de passer par Spliiit « à moindre frais » plutôt que de souscrire directement un abonnement conforme aux règles fixées par les sociétés éditrices. Si l’activité de mise en relation n’est pas illicite en soi, le tribunal estime qu’elle devient fautive lorsqu’elle facilite des partages contraires aux conditions d’utilisation des plateformes.
Le tribunal constate que ces limitations contractuelles font partie intégrante des abonnements proposés par Netflix, Disney ou Apple, et que Spliiit a facilité des usages permettant de les contourner.
Le partage d’abonnements reste licite
Spliiit pourra toujours se consoler en constatant que son activité n’a donc rien d’illégal. La société explique que le débat ne porte pas sur son existence ni sur le principe de partage de frais, « mais sur les conditions dans lesquelles certains abonnements peuvent être partagés au regard des conditions générales d’utilisation définies par chaque service. » Il n’empêche : la condamnation reste lourde. Spliiit prend acte de la décision, mais annonce la contester fermement et « confirme son intention de faire appel ».
L’entreprise estime que « certaines offres peuvent continuer à être proposées sur sa plateforme dans un cadre conforme ». C’est un interstice dans lequel Spliiit a l’intention de se glisser.
Le service de partage d’abonnements avait obtenu une petite victoire en 2022 : dans une ordonnance de référé, le tribunal avait en effet estimé que les règles de partage des streameurs étaient ambiguës et incohérentes, mais renvoyait à une décision sur le fond. Une médiation avait été demandée l’an dernier, sans que les parties parviennent à se mettre d’accord.
Spliiit est dans la panade. Le service de partage d’abonnement a été lourdement condamné par le tribunal judiciaire de Paris, qui s’est largement rangé du côté d’Apple, Disney et Netflix. Outre le versement d’une provision significative, le modèle économique de Spliiit est sévèrement remis en cause.
Apple, Disney et Netflix accusaient Spliiit de parasitisme et de contrefaçon de marques. Leur plainte déposée en 2022 a connu bien des rebondissements. Jonathan Lalinec, le directeur général de Spliiit, avait expliqué en avril à Next que le procès était désormais « sans objet » : « La justice prend du temps, et entre 2021 et 2026, il s’est passé beaucoup de choses du point de vue des éditeurs ». Avant de rappeler que ces plateformes de streaming et services en ligne avaient changé leurs offres, avec l’ajout de formules « abonné supplémentaire ».
Un espoir douché par le tribunal judiciaire de Paris. Le jugement sur le fond a finalement été publié vendredi dernier et partagé par le site L’Informé. S’il n’est pas tendre pour Spliiit, le tribunal a toutefois rejeté l’idée que l’activité même de mise en relation pour partager un abonnement est automatiquement illégale : « l’activité exercée par la société Spliiit […] n’est pas en elle-même illicite ».
Capture d’écran Spliiit.
Dans un communiqué, Spliiit relève que le tribunal a rejeté les accusations de parasitisme et qu’il n’a pas retenu l’argument « selon lequel le partage de frais constituerait, en soi, une commercialisation d’abonnements ».
Le manque à gagner des plaignants
Pour le reste, le tribunal considère que le service a commis des actes de complicité de violation des conditions générales d’utilisation, des actes de concurrence déloyale et de contrefaçon de marques. Spliiit ne peut plus utiliser les marques Apple, Disney et Netflix au-delà de ce qui est strictement nécessaire, ne peut plus proposer de partage d’abonnements lorsqu’il implique une violation des conditions d’utilisation, et doit modifier plusieurs éléments de son site jugés trompeurs ou insuffisamment clairs.
Spliiit doit également verser des dommages et intérêts ; ils sont certes inférieurs à ce que demandaient les plaignants (9,2 millions d’euros), mais en tout, le service doit verser 785 000 euros. Outre les 49 000 euros de frais de procédure, l’entreprise doit verser 10 000 euros à Apple, 20 000 euros à Disney et 30 000 euros à Netflix pour contrefaçon des marques. Des provisions sont exigées pour compenser le manque à gagner subi par les sociétés plaignantes : 25 000 euros pour Apple (iCloud, Apple Music, Apple TV, etc.), 100 000 euros pour Disney, 300 000 euros pour Netflix France et autant pour Netflix International.
Cette notion de manque à gagner se base sur le fait que des consommateurs ont pu choisir de passer par Spliiit « à moindre frais » plutôt que de souscrire directement un abonnement conforme aux règles fixées par les sociétés éditrices. Si l’activité de mise en relation n’est pas illicite en soi, le tribunal estime qu’elle devient fautive lorsqu’elle facilite des partages contraires aux conditions d’utilisation des plateformes.
Le tribunal constate que ces limitations contractuelles font partie intégrante des abonnements proposés par Netflix, Disney ou Apple, et que Spliiit a facilité des usages permettant de les contourner.
Le partage d’abonnements reste licite
Spliiit pourra toujours se consoler en constatant que son activité n’a donc rien d’illégal. La société explique que le débat ne porte pas sur son existence ni sur le principe de partage de frais, « mais sur les conditions dans lesquelles certains abonnements peuvent être partagés au regard des conditions générales d’utilisation définies par chaque service. » Il n’empêche : la condamnation reste lourde. Spliiit prend acte de la décision, mais annonce la contester fermement et « confirme son intention de faire appel ».
L’entreprise estime que « certaines offres peuvent continuer à être proposées sur sa plateforme dans un cadre conforme ». C’est un interstice dans lequel Spliiit a l’intention de se glisser.
Le service de partage d’abonnements avait obtenu une petite victoire en 2022 : dans une ordonnance de référé, le tribunal avait en effet estimé que les règles de partage des streameurs étaient ambiguës et incohérentes, mais renvoyait à une décision sur le fond. Une médiation avait été demandée l’an dernier, sans que les parties parviennent à se mettre d’accord.
L’entreprise californienne qui édite le navigateur du même nom se voit attaquée devant le tribunal judiciaire de Paris par l’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français dont l’Équipe, Libération, Les Échos, Bayard ou encore Ouest-France.
Selon notre consœur des Échos qui a pu consulter l’assignation, celle-ci dénonce des actes de contrefaçon sur les fondements du droit voisin et du droit des marques.
Illustration : Flock
Les éditeurs et l’Apig ont d’abord tenté une démarche de conciliation via la Sacem, mais elle n’a pas abouti. Plus en détail, ils visent notamment la reproduction et la communication au public, « massivement et sans aucune autorisation, [des] contenus issus des publications de presse ».
« Brave illustre non seulement la transformation des moteurs de recherche en moteurs de réponse, mais elle se targue de mettre à disposition de tout l’écosystème de l’IA des outils permettant d’entraîner des modèles ou de créer toutes sortes d’applications visant aux mêmes fins », affirme encore l’assignation.
Les entreprises de presse ainsi que l’Apig demandent une réparation à hauteur d’un peu plus de 80 millions d’euros. Contactée par les Echos, Brave n’a pas répondu.
En septembre dernier, l’Alliance, accompagnée du Syndicat des éditeurs de la presse magazine (SEPM), avait mis en demeure Common Crawl de retirer les sites de ses membres de son archivage.
L’entreprise californienne qui édite le navigateur du même nom se voit attaquée devant le tribunal judiciaire de Paris par l’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français dont l’Équipe, Libération, Les Échos, Bayard ou encore Ouest-France.
Selon notre consœur des Échos qui a pu consulter l’assignation, celle-ci dénonce des actes de contrefaçon sur les fondements du droit voisin et du droit des marques.
Illustration : Flock
Les éditeurs et l’Apig ont d’abord tenté une démarche de conciliation via la Sacem, mais elle n’a pas abouti. Plus en détail, ils visent notamment la reproduction et la communication au public, « massivement et sans aucune autorisation, [des] contenus issus des publications de presse ».
« Brave illustre non seulement la transformation des moteurs de recherche en moteurs de réponse, mais elle se targue de mettre à disposition de tout l’écosystème de l’IA des outils permettant d’entraîner des modèles ou de créer toutes sortes d’applications visant aux mêmes fins », affirme encore l’assignation.
Les entreprises de presse ainsi que l’Apig demandent une réparation à hauteur d’un peu plus de 80 millions d’euros. Contactée par les Echos, Brave n’a pas répondu.
En septembre dernier, l’Alliance, accompagnée du Syndicat des éditeurs de la presse magazine (SEPM), avait mis en demeure Common Crawl de retirer les sites de ses membres de son archivage.
Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.
À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.
C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.
Prolongement jusqu’à fin 2030 sans tarder
Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».
À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».
Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie – c’est une force ».
Extension aux bâtiments ou lieux ouverts au public et aux voies publiques
Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».
Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.
Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.
Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.
À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.
C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.
Prolongement jusqu’à fin 2030 sans tarder
Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».
À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».
Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie – c’est une force ».
Extension aux bâtiments ou lieux ouverts au public et aux voies publiques
Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».
Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.
Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.
Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.
En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.
Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).
Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.
Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».
La pseudonymisation n’évite pas les obligations face au RGPD
Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».
L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.
Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».
«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.
Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.
Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement
Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.
Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.
Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.
Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.
Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».
Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.
En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.
Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).
Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.
Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».
La pseudonymisation n’évite pas les obligations face au RGPD
Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».
L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.
Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».
«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.
Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.
Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement
Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.
Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.
Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.
Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.
Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».
Le gouvernement néerlandais vient de bloquer le rachat de la société numérique Solvinity par l’acteur états-unien Kyndryl. En cause : des préoccupations en matière de souveraineté.
Aux Pays-Bas, les citoyens recourent régulièrement à l’application gouvernementale DigiD app pour s’authentifier à divers services numériques. L’application leur sert aussi bien pour échanger avec l’administration que pour acheter une maison ou prendre un rendez-vous médical.
DigiD app est construit par une société locale, Solvinity, qui gère aussi la plate-forme administrative nationale MijnOverheid. Solvinity est par ailleurs en charge de la sécurisation des communications numériques du ministère de la Justice et de la Sécurité.
Alors que la société états-unienne Kyndryl avait annoncé le rachat de l’acteur néerlandais, les autorités ont bloqué la transaction. Le recours à des technologies états-uniennes inquiète de plus en plus au sein de l’Union européenne.
Issue de la scission des services d’infrastructures d’IBM, Kyndryl a été créée en 2021. Cotée à la bourse de New York, elle est actuellement valorisée à 2,7 milliards de dollars.
Solvinity est quant à elle détenue par la société britannique de capital-investissement Vitruvian Partners. Les fondateurs néerlandais de cette société de 275 employés, qui enregistraient 70 millions d’euros de chiffre d’affaire en 2025, maintiennent quant à eux une participation minoritaire à son capital.
Mais dès l’annonce de la revente, en novembre 2025, l’opération a créé des remous : elle était critiquée pour sa propension à mettre à portée d’application du Cloud Act états-unien un opérateur d’infrastructure numérique sensible.
Alors que le rachat était validé par Vitruvian Partners, puis accepté par l’Autorité néerlandaise de la concurrence, l’ACM, la secrétaire d’État chargée de l’économie numérique Willemijn Aerts a demandé à l’agence chargée d’examiner les investissements transfrontaliers (BTI) d’étudier les risques que posait le transfert.
Dans une lettre ouverte adressée au Parlement, cette dernière indique que l’autorité a considéré le rachat comme un « risque probable pour l’intérêt public ». C’est la première fois que cette dernière intime d’empêcher une acquisition états-unienne depuis sa création, en 2020. Ce 25 mai, le gouvernement néerlandais a décidé de suivre cet avis et de bloquer l’opération.
Si les Pays-Bas « portent une grande valeur à la présence d’entreprises étrangères, en particulier de sociétés technologiques issues des États-Unis (…) ils maintiennent un cadre indépendant d’examen des investissements afin de protéger l’intérêt public », indique la lettre. Kyndryl s’est déclaré« extrêmement déçu » et a regretté la « politisation » de l’affaire. La société s’engage néanmoins à « continuer d’accompagner [ses] clients aux Pays-Bas dans la modernisation de leurs systèmes », notamment en leur proposant des« méthodologies d’IA agentique ».
Solvinity, de son côté, se dit ouvert aux discussions avec le gouvernement sur les questions de « sécurité nationale, de souveraineté numérique et de protection des infrastructures critiques néerlandaises ». Quant au service DigiD, il a publié ses propres informations, soulignant que Solvinity n’est que le « fournisseur de l’infrastructure de plateforme sur laquelle DigiD fonctionne, celle-ci étant hébergée sur un data center gouvernemental ». Il souligne que les données personnelles des citoyens sont protégés par chiffrement, et que les employés de Solvinity n’y ont jamais accès.
Cette décision est rendue alors que la Commission européenne doit proposer d’ici quelques semaines une série de mesures dédiées à renforcer la souveraineté numérique et à réduire la dépendance de l’Europe envers des technologies étrangères, en particulier dans les domaines du cloud, des puces et de l’IA.
Aux Pays-Bas, sept fournisseurs de cloud travaillent d’ailleurs collectivement pour tenter de proposer une alternative aux fournisseurs états-uniens, rapportait NRC début avril. Ils se sont notamment mis d’accord pour utiliser les mêmes standards, afin de faciliter la circulation d’un fournisseur à l’autre et permettre de travailler sur de plus gros projets, et pour permettre à leurs concurrents de récupérer les projets critiques si jamais l’une d’entre elles était rachetée par un acteur non européen.
Connexion
