FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Retrouvez régulièrement un récap’ des informations qu’il ne fallait pas manquer.
Digital Omnibus: Evolution or Revolution
As part of its plan for a “simpler and faster Europe,” the European Commission finally published on November 19, 2025, its proposal for a new regulation amending the AI Act, the GDPR, the Data Act, and more.
This draft regulation introduces far-reaching changes to existing frameworks, addressing the challenges faced by companies, especially in the race for AI leadership.
Evolution… or revolution? Stay tuned for our upcoming analysis of the European proposal.
Lire la Proposition de règlement « omnibus numérique » du 19 novembre 2025 de la Commission Européenne
Droit d’auteur & IA générative : la justice allemande sanctionne OpenAI pour reproduction illicite de paroles de chansons
Par un jugement du 11 novembre 2025, le tribunal régional de Munich a condamné Open AI pour contrefaçon de droits d’auteur en raison de l’utilisation, non autorisée, de paroles de chansons, dans les données d’entraînement et de sortie de l’IA. Le tribunal a notamment retenu que :
- Les modèles d’IA mémorisaient de manière reproductible les paroles au sein même de leurs paramètres internes, et les restituaient dans les réponses du chatbot de façon identifiable et fidèle aux versions originales, même sans être reliés à des moteurs de recherche.
- OpenAI, et non l’utilisateur, était directement responsable des données de sorties reproduisant les paroles protégées, car l’architecture du modèle, les données sélectionnées et les modalités d’entraînement conditionnaient le contenu généré et étaient sous son contrôle.
Les juges ont rejeté l’exception de fouille de textes et de données (text and data mining) au motif que l’ayant-droit avait exercé son opt-out et que OpenAI poursuivait une finalité commerciale et non de recherche.
Outre le paiement de dommages-intérêts, OpenAI a été condamnée à faire cesser la reproduction des paroles des artistes concernés. OpenAI a d’ores et déjà annoncé avoir formé un appel contre cette décision.
Lire la décision de la LG Munich I du 11 novembre 2025, affaire 42 O 14139/2
Newsletter & prospection électronique : la CJUE assouplit les conditions relatives à la collecte d’un consentement préalable
L’article 13 de la directive ePrivacy prévoit que lorsque des données à caractère personnel sont collectées dans le cadre de la vente d’un produit ou d’un service, le responsable de traitement peut envoyer de la prospection commerciale pour des produits ou services analogues sans avoir à recueillir le consentement préalable de la personne concernée.
Par un arrêt du 13 novembre 2025, la CJUE a apporté des précisions majeures sur l’application de l’exception dite des “produits et services analogues” et sur l’articulation entre la directive 2002/58 dite « directive ePrivacy » et le RGPD.
La Cour a jugé que l’adresse de courriel collectée lors de la souscription à un service gratuit pouvait être réutilisée à des fins de prospection commerciale pour l’envoi de newsletter, sans recueillir au préalable le consentement de la personne concernée, dès lors que ces envois relèvent de l’exception des produits et services analogues.
La CJUE a également précisé que les traitements de données effectués à des fins de prospection commerciale conformes à l’article 13 de la directive ePrivacy n’avaient pas à répondre aux exigences de l’article 6 du RGPD relatif à la base légale du traitement.
Lire l’arrêt de la CJUE du 13 novembre 2025, affaire C-654/23
Cybercriminalité & données personnelles : quels enseignements tirer de la nouvelle étude commandée par la CNIL ?
Le 26 novembre 2025, la CNIL a publié son analyse de l’enquête sur les usages frauduleux de données personnelles et leurs effets sur le comportement numérique des Français.
L’étude révèle que 4 Français sur 10 déclarent avoir subi une utilisation frauduleuse de leurs données (démarchage non sollicité, fraude ou tentative de fraude) au cours des 3 dernières années, mais que peu d’entre eux ont signalé l’incident à une autorité publique.
Cette sous-déclaration complique la détection et la documentation des incidents, tout en accentuant le risque réputationnel associé à la perte de confiance.
Pour limiter ce risque, les responsables de traitement doivent renforcer leurs mesures de sécurité, améliorer leurs capacités internes de détection, et veiller à documenter l’accountability afin de démontrer leur conformité en cas d’incident.
Lire la publication de la CNIL du 26 novembre 2025
IA et droit d’auteur : la High Court of Justice rend une première décision en la matière
Le 4 novembre 2025, la High Court of Justice de Londres a rendu un jugement attendu dans le cadre du litige opposant un fournisseur d’images sous licence à un fournisseur de modèle d’IA générative open-source, concernant notamment des allégations de violation du droit d’auteur.
La Cour a jugé que le modèle d’IA, qui ne stocke ni n’a jamais stocké et ne reproduit pas les œuvres protégées sur lesquelles il a été entraîné, ne constitue pas une “copie contrefaisante” au sens du droit d’auteur britannique.
La Cour a également opéré une distinction entre les services hébergés et les modèles téléchargeables selon laquelle :
- l’accès à un service hébergé hors du Royaume-Uni, permettant uniquement d’utiliser le modèle d’IA à distance, n’emporte ni importation ni possession du modèle sur le territoire britannique ;
- en revanche, le téléchargement depuis le Royaume-Uni d’un modèle d’IA peut constituer une importation sur le territoire britannique.
Lire le jugement de la High Court of Justice du 4 novembre 2025, affaire IL-2023-000007) (en anglais)
RGPD : Quel est le rôle des marketplaces dans le traitement des données personnelles figurant dans les annonces publiées par leurs utilisateurs ?
Par un arrêt du 2 décembre 2025, la CJUE a jugé qu’une marketplace peut être qualifiée de responsable conjoint de traitement avec l’utilisateur annonceur lorsque des données personnelles figurent dans une annonce.
En l’espèce, une annonce contenant des données sensibles et mensongères concernant un tiers avait été publiée puis reprise par d’autres plateformes.
La Cour a estimé que la marketplace exerçait une influence déterminante sur le traitement, notamment en fournissant les moyens de publication et en exploitant les données à des fins qui lui sont propres prévues dans ses conditions générales.
En conséquence, la plateforme doit mettre en œuvre des mesures raisonnables pour empêcher la publication d’annonces contenant des données de tiers sans leur consentement explicite, ainsi que leur republication par des tiers.
Lire l’arrêt de la CJUE du 2 novembre 2025, affaire C‑492/23
