FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Japon : une nouvelle loi sur l’Intelligence Artificielle
Le 28 mai 2025, le Japon a adopté une législation visant à encadrer la promotion de la recherche et du développement, ainsi que l’exploitation de l’intelligence artificielle. Cette approche repose sur la coopération volontaire entre acteurs publics et privés.
La majorité des dispositions de cette loi est entrée en vigueur le 4 juin 2025.
Parmi les mesures clés :
- Le Gouvernement se voit confier de nouvelles responsabilités pour piloter la stratégie nationale en matière d’IA et adopter les mesures nécessaires ;
- La création d’une mission de contrôle gouvernementale en cas d’incidents d’IA susceptibles de porter atteinte aux droits fondamentaux.
L’institution d’un centre stratégique pour assurer le suivi de la politique gouvernementale et conseiller le Premier ministre.
Contrairement à l’AI Act, la loi japonaise ne repose pas sur une approche par les risques, et n’introduit pas de régime de sanctions en cas de défaillances des systèmes d’IA.
Cette initiative s’inscrit dans la volonté du Japon de s’affirmer comme un leader de la gouvernance mondiale de l’IA, dans la continuité du Processus d’Hiroshima (G7) sur les principes directeurs internationaux.
Lire la loi n°53 de 2025 sur la promotion de la recherche, du développement et de l’utilisation des technologies liées à l’intelligence artificielle (en japonais)
Cookies et prospection publicitaire : la CNIL inflige de nouvelles sanctions majeures à l’encontre de deux acteurs de l’Internet
Le 1er septembre 2025, la formation restreinte de la CNIL a prononcé deux amendes majeures à l’encontre de sociétés établies à l’étranger.
Google s’est vu infliger une amende de 325 millions d’euros pour :
- Avoir inséré des publicités dans son service Gmail sans consentement des utilisateurs ;
- Avoir paramétré la création des comptes de manière à favoriser l’acceptation des cookies publicitaires par les utilisateurs.
La sanction est assortie d’une injonction de mise en conformité sous 6 mois, avec astreinte de 100 000 €/jour en cas de retard.
Shein s’est vu infliger une amende 150 millions d’euros pour :
- Avoir déposé des cookies dès l’arrivée des utilisateurs sur son site, sans consentement préalable ni moyens efficaces de refus ;
- Avoir fourni des bandeaux d’information incomplets, et omis d’indiquer l’identité des tiers déposant les cookies.
Par ces deux délibérations, la CNIL réaffirme sa compétence en matière de cookies et traceurs pour mener des contrôles et sanctionner les sociétés établies à l’étranger et/ou relevant du mécanisme du guichet unique, lequel ne s’applique pas aux manquements à la directive ePrivacy.
Lire la délibération SAN-2025-004 du 1er septembre de la CNIL concernant les sociétés Google LLC et Google Ireland Limited
Lire la délibération SAN-2025-005 du 1er septembre de la CNIL concernant la société Infinite Styles Services Co. Limited (Shein)
L’EDPS se prononce sur le projet d’accord Union européenne-États-Unis visant l’échange d’informations dans le cadre des contrôles aux frontières et des vérifications d’identité
Le 23 juillet 2025, la Commission européenne a proposé au Conseil de l’UE d’ouvrir des négociations avec les États-Unis pour un accord-cadre visant l’échange d’informations dans le cadre des contrôles aux frontières et des vérifications d’identité.
Le 17 septembre 2025, l’EDPS (le Contrôleur européen de la protection des données) a publié son avis sur ce mandat, rappelant les garanties indispensables pour encadrer un tel accord au regard du droit des données personnelles :
- Réaliser une analyse d’impact approfondie sur les droits et libertés des personnes concernées ;
- Limiter strictement la portée des données échangées ;
- Exclure tout transfert massif depuis les systèmes européens liés à la migration et à l’asile ;
- Garantir transparence, contrôle effectif et voies de recours judiciaires.
Cet accord, s’il aboutit, constituerait une première : le transfert à grande échelle de données personnelles — y compris biométriques — vers un pays tiers à des fins de contrôle aux frontières et d’immigration.
Les personnes concernées incluraient potentiellement des publics particulièrement vulnérables (demandeurs d’asile, migrants).
Lire l’Opinion 24/2025 du 17 septembre 2025 de l’EDPS
Maintien frauduleux dans un STAD : un administrateur réseau sanctionné pour consultation illégale de la messagerie professionnelle de son entreprise
Par un arrêt du 2 septembre 2025, la chambre criminelle de la Cour de cassation a confirmé qu’un administrateur réseau se rend coupable du délit de maintien frauduleux dans un système de traitement automatisé de données (STAD) :
- Dès lors qu’il consulte le contenu de messages échangés au sein de la messagerie de l’entreprise, à des fins étrangères à sa mission et à l’insu de leurs auteurs et destinataires ;
- Et ce, même s’il dispose, de par ses fonctions, d’un droit général d’accès à la messagerie.
En détournant ses prérogatives, l’administrateur engage ainsi sa responsabilité pénale sur le fondement de l’article 323-1 du Code pénal.
Lire l’arrêt de la Cour de cassation du 2 septembre 2025, n°24-83.605
Le Comité européen de la protection des données publie ses lignes directrices sur l’articulation entre le DSA et le RGPD
Le 12 septembre 2025, le Comité européen de la protection des données (EDPB) a publié des lignes directrices sur l’articulation entre le Digital Services Act (DSA) et le RGPD.
L’objectif est d’assurer une application cohérente entre la régulation des plateformes et la protection des données personnelles.
- Les enquêtes volontaires des plateformes sur les contenus illicites impliquent l’analyse de données personnelles et doivent reposer sur une base légale appropriée ;
- Les signalements et recours des utilisateurs doivent être traités en respectant les principes de minimisation et de transparence ;
- La publicité fondée sur des données sensibles ou le profilage des mineurs est interdite, renforçant ainsi les garanties du RGPD ;
- Les très grandes plateformes et moteurs de recherche doivent évaluer et atténuer leurs risques systémiques, en réalisant des analyses d’impact (AIPD).
L’EDPB encourage une coopération et une coordination actives entre les autorités chargées du DSA et autorités de protection des données pour harmoniser les contrôles et éviter les doublons.
Lire les lignes directrices 3/2025 de l’EDPB
Le CEPD adopte des lignes directrices pour une application cohérente du RGPD et DMA
Le 7 octobre 2025, le CEPD a adopté des lignes directrices, élaborées avec la Commission européenne, visant à assurer une application cohérente du RGPD et du règlement sur les marchés numériques (DMA).
Elles précisent l’interprétation et la mise en œuvre de certaines dispositions du DMA relatives au traitement de données personnelles par les gatekeepers, à savoir les grandes plateformes (notamment les GAFAM) désignées par la Commission européenne en raison de leur influence significative sur le marché numérique.
Ces lignes directrices rappellent notamment que :
- Les gatekeepers doivent obtenir un consentement valable et spécifique avant toute combinaison ou utilisation croisée de données personnelles entre leurs services et faire preuve de transparence quant à la collecte et à l’utilisation des données personnelles ;
- Ils doivent permettre l’installation et l’utilisation effective d’applications tierces, dans le respect des principes de minimisation et de sécurité des données ;
- Le droit à la portabilité prévue par le DMA est plus étendu que celui du RGPD, s’appliquant également aux tiers autorisés par l’utilisateur ;
- Les gatekeepers doivent assurer une interopérabilité respectueuse de la vie privée des utilisateurs, en évitant toute transmission injustifiée de données personnelles.
Une consultation publique est ouverte jusqu’au 4 décembre 2025 afin de recueillir les avis des parties prenantes.
Lire les lignes directrices du CEPD et de la Commission européenne
