Catégorie : Newsletter

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

Encadrement des usages numériques et protection des personnes

  • Le Sénat a adopté une version modifiée de la proposition de loi visant à protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux. (31 mars 2026) https://urls.fr/OtENX1
  • La startup Friend a retiré volontairement du marché son collier doté d’une intelligence artificielle en France, faute de conformité RGPD. (5 avril 2026) https://urls.fr/IG9VlH

Publications de la CNIL

  • La CNIL a défini des thématiques prioritaires de contrôle pour l’année 2026 : recrutement, répertoire électoral unique et fédérations sportives. (3 avril 2026) https://urls.fr/PfnS_D
  • La CNIL a publié un référentiel de durées de conservation relatif à la gestion des ressources humaines. (2 avril 2026) https://urls.fr/rl5dm7

Essor d’une identité numérique européenne

  • L’identité numérique européenne ou « l’EUDI Wallet » est entrée en phase de test en Irlande. (1er avril 2026) https://urls.fr/-zjEMw

TRANSPOSITION DE LA DIRECTIVE (UE) 2023/970 : DE NOUVELLES OBLIGATIONS SUR LA TRANSPARENCE SALARIALE POUR LES EMPLOYEURS BIENTOT EN VIGUEUR

Posted on by Yohan Abriel

Les points clés à retenir :

 

  1. Transparence salariale dès l’offre d’emploi : Le salaire proposé, ou sa fourchette, ainsi que les éléments importants de la convention collective, devront être communiqués avant ou lors de l’entretien d’embauche. En outre, l’employeur ne pourra plus interroger le candidat sur ses salaires passés.
  1. Transparence salariale des salariés déjà en poste :

a) Droit d’accès des salariés aux informations salariales : Tout salarié pourra obtenir par écrit des informations sur sa rémunération ainsi que sur les niveaux de rémunération moyens par sexe pour des postes équivalents. L’employeur devra informer annuellement ses salariés de ce droit. Seules les entreprises de plus de 10 salariés seront a priori concernées.

b) Refonte de l’index de l’égalité professionnelle : L’index serait élargi à sept indicateurs pour mieux mesurer les écarts de rémunération entre femmes et hommes. Les employeurs devront justifier ou corriger tout écart injustifié, avec information et consultation du CSE selon la taille de l’entreprise.

c) Redéfinition du travail de valeur égale : L’employeur devra classer les postes de travail de valeur égale dans une même catégorie, en tenant compte de nouveaux critères. Cette catégorisation se fera par accord d’entreprise ou de branche d’ici fin 2026, ou à défaut par décision unilatérale après consultation du CSE.

d) Aménagement de la charge de la preuve en matière de rémunération : En cas de contentieux, le salarié ou candidat pourra présenter des éléments laissant présumer une discrimination salariale, et l’employeur devra alors prouver que les écarts reposent sur des critères objectifs.

e) Interdiction des clauses limitant la transparence : Les clauses interdisant aux salariés de communiquer sur leur rémunération seront nulles.

f) Sanctions en cas de manquement aux nouvelles obligations salariales : En cas de manquement, deux niveaux de sanctions administratives sont prévus :

 

      • jusqu’à 1 % de la masse salariale pour les manquements liés aux indicateurs et mesures correctives (2 % en cas de récidive),
      • et jusqu’à 450 € pour les manquements à l’information des salariés ou candidats (doublé en cas de récidive).

 

*

 

Malgré quelques progrès, le revenu salarial moyen des femmes demeure inférieur de 22,2 % à celui des hommes dans le secteur privé, temps partiels compris. En équivalent temps plein, le salaire moyen des femmes reste inférieur de 14,2% à celui des hommes.

 

Pour lutter contre ces inégalités et la culture du secret salarial qui sont de nature à les renforcer, l’Union Européenne a, le 10 mai 2023, adopté la directive 2023/970 (la « Directive ») « visant à renforcer l’application du principe de l’égalité des rémunérations entre les femmes et les hommes pour un même travail ou un travail de même valeur par la transparence des rémunérations et les mécanismes d’application du droit ».

 

Concrètement, les dispositions de cette Directive tendent à améliorer la transparence sur les salaires par l’instauration de nouveaux mécanismes contraignants. L’objectif est de faciliter l’accès aux informations salariales, de garantir des critères de rémunération non discriminatoires et d’améliorer les recours en cas de discrimination.

 

La Directive devra être transposée en droit français d’ici le 7 juin 2026, même s’il est d’ores et déjà acquis que la France ne tiendra pas ce délai. Le gouvernement prévoit un dépôt du projet de loi au Parlement fin mai, pour un examen en juin-juillet, et une adoption définitive d’ici la fin de l’année — mais l’agenda parlementaire chargé pourrait encore retarder ce calendrier. Des décrets d’application seront ensuite nécessaires avant toute entrée en vigueur effective.

 

Une première version du projet de loi visant à transposer la directive européenne sur la transparence salariale a été transmise aux partenaires sociaux et aux parlementaires le 6 mars dernier. Le texte a de nouveau fait l’objet d’une réunion de concertation avec les organisations patronales et salariales le 19 mars dernier.

 

  1. Une transparence des rémunérations avant l’embauche

 

Indépendamment de la taille de l’entreprise, la rédaction des offres d’emploi devra désormais se conformer aux exigences de la nouvelle directive européenne. L’avant-projet de loi prévoit l’obligation de communiquer par écrit aux candidats – ou, à défaut d’offre d’emploi, avant ou lors de l’entretien de recrutement – les informations suivantes :

 

  • le montant de la rémunération ou une fourchette salariale pour le poste ;
  • les dispositions pertinentes de la convention collective, telles que les avantages, primes ou minima conventionnels.

 

Concrètement, les mentions telles que « la rémunération sera fixée en fonction du profil du candidat » ne seront plus autorisées.

 

Par ailleurs, il sera interdit de demander aux candidats des informations relatives à leur historique de rémunération, qu’il s’agisse de leur emploi actuel ou de leurs emplois passés.

 

L’objectif de ces mesures est d’empêcher que les salaires passés, potentiellement discriminatoires, influencent la rémunération future, tout en favorisant la transparence et l’égalité de traitement entre candidats lors des discussions et négociations salariales.

 

  1. Une transparence des rémunérations des salariés en poste

C’est dans ce cadre que la directive introduit le plus grand nombre de nouvelles obligations.

 

a) Un nouveau droit à l’information accordé aux salariés

 

Selon le document transmis par le ministère du Travail aux partenaires sociaux, les salariés pourraient désormais demander à leur employeur des informations sur leur niveau de rémunération ainsi que sur les niveaux de rémunération moyens, ventilés par sexe, des salariés relevant de la même catégorie, c’est-à-dire exerçant un travail identique ou de même valeur.

 

Ces informations devraient être transmises par écrit, directement au salarié ou par l’intermédiaire des délégués syndicaux ou du CSE. L’employeur devrait par ailleurs informer chaque année l’ensemble des salariés de l’existence de ce droit et répondre aux demandes dans un délai précisé par décret.

 

Lorsque la communication de ces données serait susceptible de permettre l’identification indirecte d’un salarié en raison d’un nombre insuffisant de personnes dans la catégorie concernée, l’employeur pourrait tout de même refuser de transmettre les informations demandées et devrait en informer le salarié.

 

Lors de la réunion avec les partenaires sociaux du 19 mars dernier, le ministère du Travail a précisé que ce seuil sera fixé à 10 salariés. Un décret devra entériner cette décision.

 

En tout état de cause, il conviendra de mettre en place des systèmes de rémunération structurés, transparents et accessibles aux salariés, ainsi qu’une procédure interne claire pour le traitement des demandes relatives aux rémunérations.

 

b) Un nouvel index de l’égalité

 

Le ministère envisage une refonte de l’index de l’égalité professionnelle. Rappelons que chaque année, au plus tard le 1er mars, les entreprises d’au moins 50 salariés doivent publier une mesure des écarts de rémunérations entre femmes et hommes, calculée selon quatre ou cinq indicateurs en fonction de l’effectif. Celle-ci est intégrée à la base de données économiques, sociales et environnementales et mise à disposition du CSE.

 

Dans le cadre de la transposition de la Directive, le gouvernement entend procéder à une refonte intégrale de l’index de l’égalité professionnelle, qui comprendrait sept nouveaux indicateurs. Ces derniers seront précisés par décret, mais il est vraisemblable qu’ils reprendront dans leur grande majorité les dispositions énoncées par la Directive elle-même :

 

      • L’écart de rémunération entre les femmes et les hommes ;
      • L’écart de rémunération entre les femmes et les hommes au niveau des composantes variables et complémentaires ;
      • L’écart de rémunération médian entre les femmes et les hommes ;
      • L’écart de rémunération médian entre les femmes et les hommes au niveau des composantes variables et complémentaires ;
      • La proportion de femmes et d’hommes bénéficiant de composantes variables et complémentaires ;
      • La proportion de femmes et d’hommes dans chaque quartile de rémunération, soit selon une découpe de quatre groupes égaux dans lesquels les travailleurs sont répartis en fonction de leur niveau de rémunération ;
      • L’écart de rémunération entre les femmes et les hommes par catégorie rassemblant des salariés accomplissant un travail égal ou de valeur égale.

 

Les six premiers indicateurs seront annualisés et systématisés via les DSN, le septième, qui restera à réaliser par les employeurs, devra être déposé :

      • Chaque année dans les entreprises d’au moins 250 salariés ;
      • Tous les trois ans dans celles de 50 à 249 salariés.

 

Le dispositif envisagé prévoit par ailleurs plusieurs obligations graduées selon l’effectif de l’entreprise :

 

      • Dans celles de 50 à 99 salariés, le CSE serait informé sur les données utilisées pour le calcul des indicateurs et sur leurs résultats. Lorsque le septième indicateur révélerait un écart supérieur à un seuil fixé par décret, l’employeur devrait engager la négociation obligatoire sur l’égalité professionnelle afin de définir des mesures correctrices. À défaut d’accord, celles-ci devraient être intégrées dans le plan d’action unilatéral de l’employeur. Un accord collectif pourrait par ailleurs dispenser l’entreprise de déclarer cet indicateur.
      • Dans les entreprises d’au moins 100 salariés, le CSE devrait être informé mais aussi consulté sur les données utilisées pour le calcul des indicateurs et sur leurs résultats. Son avis serait transmis par l’employeur à l’autorité administrative. Les salariés, le CSE ou les délégués syndicaux pourraient en outre demander à l’employeur des précisions et justifications sur le septième indicateur, auxquelles ce dernier serait tenu de répondre de manière motivée.

 

Lorsque le septième indicateur mettrait en évidence un écart supérieur au seuil fixé par décret, l’employeur disposerait de deux options :

 

      • justifier l’écart par des critères objectifs et non sexistes, après consultation du CSE. Si l’employeur choisissait cette option et que la justification était absente ou insuffisante, il devrait corriger l’écart dans un délai de six mois à compter de la première déclaration, puis procéder à une nouvelle déclaration. À l’issue de ce délai et de cette nouvelle déclaration, si les écarts persistaient et restaient non justifiés, l’employeur serait tenu d’engager une négociation sur des mesures correctrices par accord collectif ou, à défaut, par plan d’action ;
      • engager directement la négociation visant à adopter des mesures correctrices sans attendre le délai de six mois.

 

c) Des nouveaux critères d’appréciation du « travail de valeur égale »

 

Les critères permettant d’apprécier si des emplois sont de valeur égale seraient complétés. L’article L. 3221-4 du Code du travail fixant ces critères serait ainsi enrichi pour faire également référence aux compétences non techniques et à la notion de conditions de travail.

 

Serait par ailleurs introduite l’obligation pour l’employeur d’établir une catégorisation des salariés réalisant un travail de valeur égale. Celle-ci devrait être définie par un accord d’entreprise ou, à défaut, par un accord de branche. À ce titre, les organisations syndicales d’employeurs et de salariés représentatives au niveau des branches seraient invitées à engager des négociations en vue, le cas échéant, de la conclusion d’un tel accord avant le 31 décembre 2026. En l’absence d’accord à ces niveaux, l’employeur pourrait fixer cette catégorisation par décision unilatérale, après consultation du CSE, pour une durée de trois ans.

 

d) Une charge de la preuve aménagée en matière de rémunération

 

L’article L. 3221-8 du Code du travail serait réécrit afin de préciser l’aménagement de la charge de la preuve dans les litiges relatifs à l’égalité de rémunération. À l’instar des autres cas de discrimination, il appartiendrait au candidat à un emploi ou au salarié de présenter des éléments de fait laissant présumer l’existence d’une discrimination directe ou indirecte.

 

Le texte précise la nature de ces éléments, qui pourraient notamment inclure :

 

      • des données statistiques ;
      • la rémunération d’un salarié précédemment embauché par le même employeur ;
      • la rémunération d’un salarié d’un autre employeur lorsque les conditions salariales pertinentes sont fixées par une convention ou un accord collectif commun (accord interentreprises, de groupe ou au sein d’une unité économique et sociale).

 

Une fois ces éléments produits, il reviendrait à l’employeur de démontrer que toute différence de traitement repose sur des critères objectifs, indépendants de toute discrimination.

 

Les mêmes règles s’appliqueraient dans l’hypothèse où l’employeur ne respecterait pas ses nouvelles obligations en matière de transparence salariale, sauf s’il établit que le manquement est manifestement non intentionnel et revêt un caractère mineur.

 

e) L’interdiction des clauses restreignant la divulgation des informations relatives à la rémunération

 

Toute clause contractuelle interdisant à un salarié de divulguer son salaire ou d’échanger des informations relatives aux rémunérations avec ses collègues sera réputée nulle. On comprend que la transparence prévaut sur le secret individuel : l’employeur ne pourra en aucun cas sanctionner un salarié pour avoir discuté de ses conditions de rémunération.

 

f) La mise en place de sanctions en cas de manquement

 

Un régime de sanctions administratives spécifique serait instauré en cas de manquement aux nouvelles obligations mises à la charge des entreprises.

 

Deux catégories de manquements seraient ainsi visées :

  • les manquements relatifs aux obligations de déclaration des nouveaux indicateurs sur les écarts de rémunération et aux mesures visant à les réduire. Après, dans certains cas, une procédure de mise en demeure, l’autorité administrative pourrait prononcer une pénalité pouvant atteindre 1% des rémunérations versées aux salariés de l’entreprise. Le montant de cette pénalité serait fixé par l’administration et ne pourrait être appliqué qu’une seule fois par exercice pour chacun des types de manquements prévus par le texte. En cas de récidive dans les cinq années suivant une sanction précédente, ce plafond pourrait être porté à 2% de la masse salariale ;
  • certains manquements aux obligations de transparence et d’information, notamment celles relatives à l’information des salariés, à la communication des résultats des indicateurs ou à la mise à disposition d’informations aux candidats. Ils pourraient donner lieu à une pénalité administrative d’un montant maximal de 450 €. Le montant de cette pénalité pourrait également être doublé en cas de récidive dans les cinq années suivant une sanction antérieure.

 

Sur le plan civil, un salarié s’estimant victime d’une inégalité de rémunération pourra toujours saisir la justice afin d’obtenir une indemnisation intégrale de son préjudice. La directive prévoit que l’employeur fautif doit compenser l’intégralité des pertes subies du fait de la discrimination, incluant le rappel des salaires non perçus, des primes associées, ainsi que la réparation des opportunités manquées en lien avec cette différence de traitement.

 

En résumé, la transposition de cette directive nécessite une bonne connaissance des nouvelles obligations et une anticipation des changements.

 

L’avant-projet de loi prévoit le calendrier d’entrée en vigueur de son article 1er. Ces dispositions entreraient ainsi en vigueur à compter d’une date fixée par décret et au plus tard dans un délai d’un an suivant la promulgation de la loi, à l’exception des dispositions relatives :

 

  • à l’obligation de déclaration du septième indicateur, qui entrerait en vigueur à une date fixée par décret et au plus tard le 1erjuin 2030 pour les entreprises de moins de 150 salariés ;
  • au droit à l’information des salariés, qui entreraient en vigueur à compter de la date d’entrée en vigueur des accords ou de la décision unilatérale de l’employeur établissant une catégorisation des salariés réalisant un travail de valeur égale, et au plus tard dans le délai d’un an suivant la promulgation de la loi.

 

Rappelons par ailleurs qu’en complément de ces futurs mécanismes, (i) la négociation sur l’égalité professionnelle est toujours obligatoire dans les entreprises dotées de délégués syndicaux et (ii) que les entreprises de plus de 1 000 salariés devront compter 30 % de femmes parmi leurs cadres dirigeants d’ici 2027, puis 40 % d’ici 2030 (loi Rixain).

Newsletter IT-DATA Mars 2026

Posted on by Yohan Abriel
  1. La CNIL sanctionne France Travail de 5 millions d’euros pour manquement à la sécurité des données à caractère personnel

 

Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail (anciennement Pôle Emploi) pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel, conformément à l’article 32 du RGPD.

 

En 2024, des cyberattaquants ont ciblé le système d’information de France Travail et usurper les comptes des conseillers du service « CAP EMPLOI ».

 

Cette intrusion a permis la consultation de données à caractère personnel de toutes les personnes inscrites ou ayant été inscrites au cours des vingt dernières années, ainsi que des utilisateurs disposant d’un espace candidat sur francetravail.fr, incluant notamment les numéros de sécurité sociale, adresses électroniques et postales et numéros de téléphone. Les informations sensibles liées à la santé n’ont cependant pas été compromises.

 

Si la CNIL rappelle que l’obligation d’assurer la sécurité des données à caractère personnel est une obligation de moyens et qu’il n’est pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites  » d’ingénierie sociale « , elle a relevé que France Travail a violé cette obligation en ne mettant pas en œuvre des mesures de sécurité adaptées aux risques identifiés lors de ses analyses d’impact.

 

La CNIL a en particulier constaté l’insuffisance de robustesse des modalités d’authentification par mot de passe (i.e. critères de longueur et de complexité/ seuil de blocage pour tentatives infructueuse/ mécanismes de restriction complémentaires), un manque de mesures de journalisation pour détecter les comportements anormaux, et des habilitations d’accès définies de manière trop large permettant aux conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas.

 

Cette décision rappelle l’importance pour les organismes publics et privés de sécuriser leurs systèmes d’information, de limiter les accès aux seules personnes autorisées et de transformer les analyses d’impact en actions concrètes pour réduire les risques de violation de données.

 

 

2. Apple perd face à l’UFC-Que Choisir pour clauses abusives et manquements à la protection des données

 

Par un arrêt du 27 février 2026, la Cour d’appel de Paris a confirmé, pour l’essentiel, la responsabilité d’Apple Distribution International Limited (Apple) à la suite de l’action engagée par l’UFC-Que Choisir concernant les conditions d’utilisation du service iTunes (devenu Apple Music) et les documents relatifs à la protection des données.

 

L’action, initiée en 2016, visait à contester le caractère abusif et illicite de plusieurs clauses contractuelles et dispositions relatives au traitement des données à caractère personnel. En première instance, le tribunal judiciaire de Paris avait retenu des manquements au droit de la consommation et au RGPD. Apple avait interjeté appel, contestant notamment la recevabilité de l’action et le bien-fondé des condamnations.

 

Sur la recevabilité, la Cour confirme qu’une association peut agir sans mandat au titre de l’article 80 du RGPD, tout en précisant que l’examen doit porter uniquement sur les clauses encore en vigueur.

 

Au fond, la Cour retient l’illicéité de plusieurs clauses relatives au traitement des données à caractère personnel, notamment en ce qui concerne la durée de conservation, les finalités et destinataires des données, les transferts internationaux, le profilage et l’exercice des droits des utilisateurs. Elle relève un défaut de clarté et de précision, les informations fournies ne permettant pas de satisfaire aux exigences de transparence prévues par le RGPD.

 

Sur le terrain du droit de la consommation, certaines clauses sont également jugées abusives. La Cour souligne leur caractère standardisé, leur manque de lisibilité et l’existence d’un déséquilibre significatif au détriment des utilisateurs, en raison notamment de formulations générales laissant une marge d’interprétation à l’opérateur.

 

Les documents « Apple Music et Confidentialité » et « Engagement de Confidentialité » ont été sanctionnés pour des motifs similaires.

 

S’agissant des sanctions, la Cour prend en compte la durée des manquements, le nombre d’utilisateurs concernés et la nature des clauses litigieuses, et porte les dommages-intérêts à 50 000 euros au titre de l’intérêt collectif des consommateurs.

 

Cette décision rappelle l’importance d’une rédaction claire, précise et transparente des conditions contractuelles, tant au regard du RGPD que du droit de la consommation, pour protéger les consommateurs.

 

 

3. Le Conseil d’Etat confirme l’amende de 40 millions d’euros infligée à Criteo pour manquements au RGPD

 

Criteo fournit des services permettant l’affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l’aide de cookies, les données de navigation des personnes visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle.

 

Le 4 mars 2026, le Conseil d’Etat confirme en tous ces points le raisonnement de la CNIL en retenant ce qui suit :

 

  • Criteo a la qualité de responsable conjoint de traitement lorsqu’elle dépose les cookies sur les terminaux des visiteurs des sites internet gérés par ses partenaires commerciaux et la qualité de responsable de traitement lorsqu’elle exploite ensuite les données ainsi recueillies (notamment fin de configurer et d’améliorer les traitements algorithmiques de ciblage mis en œuvre par Criteo).
  • Les données traitées par Criteo sont des données personnelles dans la mesure où elles sont pseudonymisées et que l’identification de certaines personnes ne serait techniquement pas impossible.

En conséquence de ces qualifications, Criteo a manqué aux obligations suivantes :

 

  • Criteo n’a pas conclu d’accords conformes à l’article 26 du RGPD avec ses partenaires en qualité de responsables conjoints de traitement ;
  • Criteo n’était pas en mesure de démontrer la preuve que le consentement des personnes concernées a bien été recueilli pour les traitements fondés sur le consentement ;
  • Criteo n’a pas informé les personnes concernées conformément aux articles 12 et 13 du RGPD ;
  • Criteo a manqué à ses obligations relatives au droit au retrait du consentement et à l’effacement des données : si les personnes n’étaient plus exposées à un affichage de publicités ciblées, leurs données étaient conservées et traitées pour l’amélioration des algorithmes.

 

Le Conseil d’Etat a enfin validé le montant de la sanction prononcée, retenant la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, au nombre d’utilisateurs concernés (370 millions d’identifiants d’utilisateurs dans l’Union Européenne, dont 50 millions d’identifiants en France), au fait que Criteo est un acteur majeur du secteur des services de publicité sur internet et à la circonstance qu’elle a tiré un gain direct des manquements retenus.

 

  • Pour lire la décision, cliquez ici.

 

4. La Commission européenne et l’autorité irlandaise enquêtent sur X et son IA Grok

 

X (anciennement Twitter) fait l’objet de deux enquêtes distinctes mais complémentaires concernant son outil d’intelligence artificielle Grok, intégré à la plateforme depuis 2024 : la 1ère enquête est conduite par la Commission européenne quand la 2nde a été initiée par l’autorité irlandaise de protection des données.

 

La Commission européenne a ouvert fin janvier une procédure formelle d’examen au titre du Digital Services Act (DSA). Cette nouvelle enquête s’inscrit dans la continuité de celle lancée en décembre 2023, qui portait initialement sur la conformité générale de la plateforme. Elle est désormais étendue à l’évaluation spécifique des systèmes de recommandation de la plateforme et des fonctionnalités de Grok. Ces fonctionnalités permettent aux utilisateurs de produire des contenus textuels et visuels et d’intégrer des éléments contextuels à leurs publications.

 

La Commission examine d’éventuelles violations des articles 34(1) et (2) du DSA, relatifs à l’évaluation et à l’atténuation des risques systémiques, de l’article 35(1) sur les mesures d’atténuation spécifiques, ainsi que de l’article 42(2), imposant la réalisation et la transmission d’un rapport d’évaluation des risques avant le déploiement de nouvelles fonctionnalités.

 

Quant à l’autorité irlandaise chargée de la protection des données (DPC), elle a annoncé, le 17 février 2026, l’ouverture d’une enquête portant sur le traitement de données à caractère personnel par Grok. Cette procédure fait suite à la diffusion de contenus deepfake à caractère sexuel générés à partir de photos ou vidéos de personnes réelles, y compris des mineurs. La DPC vérifie notamment si X a respecté les principes du RGPD : licéité, loyauté et transparence du traitement, minimisation, exactitude des données, réalisation d’une analyse d’impact sur la protection des données, et protection dès la conception et par défaut.

 

Ces enquêtes illustrent la complémentarité du DSA et du RGPD : quand le DSA encadre la sécurité et la responsabilité des services en ligne, le RGPD régit le traitement des données à caractère personnel, y compris celles exploitées par les outils d’IA.

 

  • Pour plus d’informations sur le sujet, cliquez ici.

 

5. La proposition de loi afin d’interdire l’accès des réseaux sociaux pour les mineurs de moins de 15 ans a été adoptée par l’Assemblée nationale

 

Face aux inquiétudes croissantes liées au cyberharcèlement, à l’exposition à des contenus inappropriés et aux effets sur le sommeil et la santé mentale, l’Assemblée nationale a adopté, le 26 janvier 2026, une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineurs de moins de 15 ans.

 

Cette proposition distingue les conditions d’accès de la manière suivante :

 

  • Pour les services figurant sur une liste officielle de plateformes jugées susceptibles de nuire à l’épanouissement des mineurs de moins de 15 ans, l’accès reste interdit, même avec l’accord des représentants légaux ;
  • Pour les autres plateformes, l’accès peut être autorisé uniquement avec l’accord explicite d’au moins un parent ou tuteur, précisant les contenus accessibles, la durée maximale quotidienne et les horaires d’utilisation.

 

Les contrats conclus en violation de ces dispositions seraient nuls de plein droit, et la mesure entrerait en vigueur le 1er septembre 2026.

 

L’effectivité de cette loi reposerait ainsi principalement sur les plateformes, qui doivent vérifier l’âge des utilisateurs. A cet égard, la Commission européenne a recommandé d’adopter des méthodes de vérification d’âge « précises, fiables, robustes, non intrusives et non discriminatoires » dans ses lignes directrices publiées le 14 juillet 2025 (lien). Une solution de vérification de l’âge a également été développée et est en phase de test (lien).

 

La proposition de loi est désormais soumise au Sénat et est discutée en séance publique le 31 mars 2026.

 

Le cadre européen impose déjà aux plateformes des exigences en matière de protection des mineurs. L’article 28 du DSA instaure des obligations adaptées à la nature du service, à ses fonctionnalités et aux risques identifiés, sans prévoir d’interdiction générale fondée sur l’âge.

 

A noter que WhatsApp vient d’annoncer qu’il lançait une messagerie « version préado », dédiée aux moins de 13 ans (contrôle parental renforcé, absence de publicité et de fonctionnalités d’intelligence artificielle). De notre point de vue, cette nouvelle version est liée au fait que WhatsApp a été désigné par la Commission européenne comme très grande plateforme pour ses services de chaines en janvier dernier et qu’il doit donc se conformer à des obligations plus strictes au titre du DSA d’ici la fin du mois de mai, notamment pour ce qui concerne les mineurs. Aucune mesure de vérification ou d’estimation de l’âge n’est mise en place pour cette version « pré-ado ». Meta se repose sur une action parentale et une déclaration de l’âge pour limiter les accès aux contenus des chaînes de WhatsApp par les mineurs. Il n’est pas précisé si Meta a évalué par ailleurs les risques systémiques liés à ces chaînes et si d’autres mesures ont été mises en œuvre pour en atténuer les conséquences. Il reste encore 2 mois à Meta pour y travailler.

 

  • Pour plus d’informations sur le sujet, la proposition de loi votée par l’Assemblée nationale est ici et l’interview d’Emilie de Vaucresson dans les Echos sur la version préado de WhatsApp est ici.

 

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

Encadrement des droits des personnes concernées issus du RGPD

  • Le CEPD a lancé une action coordonnée de contrôle portant sur le respect des obligations de transparence et d’information prévues par le RGPD. (19 mars 2026) : https://urls.fr/FoYfaT
  • Une demande d’accès à ses données à caractère personnel peut être qualifiée d’abusive et refusée si elle est introduite dans le seul but de demander ensuite une réparation pour prétendue violation du RGPD. (19 mars 2026) : https://urls.fr/3K-IAG

 

Encadrement des traitements de données sensibles et des dispositifs de captation sonore

  • Saisi par plusieurs associations et particuliers, le Conseil d’État n’a pas annulé l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française. (20 mars 2026) : https://urls.fr/c7Ube8
  • La CNIL a publié des recommandations sur les dispositifs de captation sonore couplés à la vidéoprotection. (20 mars 2026) : https://urls.fr/OmO1UL
  • La CJUE a jugé que la collecte de données biométriques par une autorité de police dans le cadre d’une enquête pénale ne peut être justifiée que par une nécessité absolue. (19 mars 2026) : https://urls.fr/NemtWZ

 

Souveraineté numérique et cybersécurité

  • Dans ses conclusions, l’avocate générale Capeta a affirmé que les États membres peuvent exclure du matériel et des logiciels des infrastructures de télécommunications 2G-4G et 5G en raison du risque que le fabricant de ces équipements représente pour la sécurité nationale. (19 mars 2026) : https://urls.fr/-dW5gH
  • Le CEPD et l’EDPB ont adopté un avis conjoint sur la proposition de règlement sur la cybersécurité et la proposition de modification de la directive NIS 2. (18 mars 2026) : https://urls.fr/s_8Lh1
  • L’ANSSI a publié le Référentiel Cyber France (Recyf) pour aider à la sécurisation des organisations. (18 mars 2026) : https://urls.fr/XzsO4T

 

Responsabilité des plateformes

  • La Cour d’appel de Paris a confirmé le jugement prononcé par le tribunal judiciaire en première instance à l’encontre de Shein concernant la commercialisation de produits à caractère pornographique et n’a pas prononcé le blocage de la plateforme. (19 mars 2026) : https://urls.fr/xlkYO2

David Tavernier et Samir Khawaja pour Option Droit & Affaires

Posted on by Yohan Abriel

Le “prix forfaitaire” en immobilier : un équilibre aussi fragile que mythique

Décryptage par David Tavernier et Samir Khawaja dans ODA.

 

Entre marchés forfaitaires avec les entreprises et contrats à prix fermes avec les clients finaux, les promoteurs naviguent sur un équilibre théorique souvent mis à mal en pratique.

 

Pour Samir Khawaja le constat est clair : « Le mécanisme d’imprévision du Code civil est devenu un levier majeur de négociation et de contentieux dans un contexte économique instable. »

 

Quand l’exécution d’un contrat devient excessivement onéreuse, les parties renégocient ou le juge tranche.

 

La réception des ouvrages cristallise aussi les tensions. Sur la GPA, Samir Khawaja souligne : « Elle est utilisée dans la quasi-totalité des dossiers, souvent jusqu’à l’assignation judiciaire avant l’expiration du délai d’un an. »

 

David Tavernier estime que la hausse du contentieux reflète surtout une dégradation des conditions d’exécution : « Les référés préventifs sont devenus quasi systématiques en zones denses pour sécuriser juridiquement les opérations avant même le premier coup de pioche. »

 

Dans la construction, le contrat ne protège que ceux qui anticipent. ⚖️

 

Cliquez ici pour retrouver l’intégralité de l’article.

 

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🔐 Panorama de la cybermenace 2025

  1. L’ANSSI a publié son bilan de la cybermenace en France. (11 mars 2026) https://urls.fr/SRSahW

🤖 L’encadrement des technologies émergentes par les autorités de protection

  1. Le CEPD et l’EDPS ont publié un avis conjoint sur la proposition de règlement sur les biotechnologies (European Biotech Act). (12 mars 2026) https://urls.fr/Y4bGG_
  2. Le CEPD a publié un guide relatif à son nouveau rôle au titre de l’IA Act. (17 mars 2026) https://urls.fr/OZ_MnV

📊L’encadrement des nouveaux usages de la donnée

  1. La CNIL a publié une FAQ sur les organisations altruistes des données reconnues dans l’Union européenne conformément au règlement sur la gouvernance des données (DGA). (10 mars 2026) https://urls.fr/lj3gco
  2. La CNIL a publié des recommandations relatives aux serveurs mandataires web filtrants. (13 mars 2026) https://urls.fr/uNpIng

⚖️ Sanctions administratives

  1. La CJUE a jugé qu’un abonné peut résilier son contrat d’accès à Internet sans frais en cas de modification visant à se conformer à une décision de la Cour de justice. (12 mars 2026) https://urls.fr/1mWBNm
  2. La Cour administrative du Luxembourg a annulé, la décision de la Commission nationale pour la protection des données (CNPD) qui avait infligé en 2021 une amende de 746 millions d’euros à Amazon Europe Core dans un dossier lié à ses pratiques de publicité comportementale en ligne. (12 mars 2026) https://urls.fr/12vQrX

🔍 À suivre :

  1. Google a annoncé qu’à partir du 2 avril 2026, reCAPTCHA passera du statut de responsable du traitement des données à celui de sous-traitant des données. (26 janvier 2026) https://urls.fr/z-araV
  2. La Cour d’appel de Paris a condamné Apple, à la suite d’une action engagée par UFC-Que Choisir, en constatant la présence de plusieurs clauses illicites dans les conditions générales du service iTunes. (27 février 2026) https://urls.fr/12FOZP

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🤖 Encadrement de l’intelligence artificielle

  1. La HAS et la CNIL publient un projet de guide soumis à consultation. (5 mars 2026) https://urls.fr/HtpxAA
  2. La Commission européenne a publié la deuxième version du code de bonnes pratiques sur le marquage des contenus générés par IA, en application de l’article 50 de l’AI Act. (5 mars 2026) https://urls.fr/unnJnS

🔐 Protection des données à caractère personnel et contentieux

  1. Le Conseil d’État a confirmé la sanction de 40 millions d’euros infligée à Criteo par la CNIL. (4 mars 2026) https://urls.fr/zD8Vl3
  2. Le CEPD a publié une étude de marché sur les courtiers en données. (4 mars 2026) https://urls.fr/mQEUB4
  3. Des plaignants dans le New Jersey et en Californie poursuivent Meta pour violation présumée de la vie privée, après des révélations selon lesquelles des vidéos intimes captées par leurs lunettes connectées seraient partagées à l’insu des utilisateurs avec des sous-traitants basés au Kenya. https://urls.fr/GA_lPm

🏥 Régulation du numérique en santé

  1. Le décret n°2026-153 définissant les modalités de pénalités financières applicables aux éditeurs de services numériques en santé (SNS) en cas de non-respect des exigences de sécurité prévues à l’article L.1470-5 du Code de la santé publique ou d’absence de certificat de conformité a été publié. (4 mars 2026) https://urls.fr/i7eJ4e

🛡️Renforcement de la protection des utilisateurs face aux risques et fraudes en ligne

  1. La Commission européenne a tenu une première réunion du groupe d’experts sur la sécurité des enfants en ligne. (5 mars 2026) https://urls.fr/J3ItTN
  2. Dans l’affaire C-70/25, l’avocat général Rantos a considéré qu’en vertu du droit de l’Union, une banque ne peut pas refuser de procéder au remboursement immédiat du montant d’une opération non autorisée au motif d’une négligence grave du client. (5 mars 2026) https://urls.fr/xHNE2E

Entrée en vigueur de la 13e édition de la classification de Nice

Posted on by Yohan Abriel

La 13ᵉ édition de la classification de Nice, entrée en vigueur le 1ᵉʳ janvier 2026, a modifié le classement de plusieurs produits et services, notamment dans les secteurs de l’optique, du bien-être ou encore des transports.

 

Parmi les principales évolutions :

 

  • les huiles essentielles sont désormais classées selon leur usage : cosmétique en classe 3, médical en classe 5 ou alimentaire en classe 30 ;
  • les lunettes, lentilles et accessoires optiques quittent la classe 9 pour la classe 10, considérés comme dispositifs médicaux, seules les lunettes à vocation scientifique restent en classe 9 ;
  • les vêtements chauffants deviennent des vêtements à part entière désormais visés en classe 25 et les véhicules de secours passent en classe 12.

Les marques françaises en vigueur au 1er janvier 2026 restent valables en l’état et la reclassification n’interviendra qu’au moment du renouvellement.

 

Une difficulté pourrait toutefois apparaître avant cette échéance en cas d’extension internationale d’une marque française. Dans cette hypothèse, le déposant pourrait recevoir une notification d’irrégularité l’invitant à adapter la rédaction des produits et services afin de les rendre conformes à la classification en vigueur. Des propositions de régularisation seraient alors émises par l’INPI.

 

Par ailleurs, dans l’hypothèse où la reclassification conduirait à l’ajout d’une nouvelle classe non initialement visée par la marque, le déposant devra s’acquitter de la redevance complémentaire de 40 euros. Si à l’issue de cette reclassification, la classe initialement visée ne présente plus d’intérêt (par exemple, si elle ne comporte plus aucun produit/service ou si les produits/services restants n’ont plus d’intérêt), le déposant devrait pouvoir y renoncer. Le cas échéant, aucun paiement complémentaire ne devrait être dû, le nombre total de classes restant inchangé.

 

Pour les marques de l’Union européenne et les enregistrements internationaux, aucun mécanisme de reclassification ne sera mis en place pour les enregistrements en vigueur au 1er janvier 2026 : seuls les nouveaux dépôts devront respecter la nouvelle classification.

 

En pratique, cette nouvelle édition ne modifie pas fondamentalement les stratégies de dépôt de marque. Toutefois, des ajustements pourront s’avérer nécessaires, tant lors du renouvellement que lors du dépôt de nouvelles marques, si les titres concernés sont affectés par ces évolutions.

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🔎 Intensification des actions des autorités européennes en matière de protection des données personnelles

  1. L’autorité italienne de protection des données a ordonné à Amazon de cesser de conserver des données sensibles de plus de 1 800 employés. (24 février 2026) https://urls.fr/bI7-ZG
  2. L’autorité britannique de protection des données a sanctionné Reddit à hauteur de 14,47 millions de livres pour manquements au respect de la vie privée des enfants. (24 février 2026) https://urls.fr/jJgF5z

⚖️ Renforcement des instruments de régulation de la CNIL en matière de protection des données

  1. La CNIL a lancé une consultation publique sur son projet de recommandation concernant les outils de rejeu de session qui permettent le suivi et l’analyse du comportement en ligne des utilisateurs.  (25 février 2026) https://urls.fr/4-NZ5P
  2. La CNIL a mis à jour ses tables informatique et libertés destinées aux professionnels et universitaires qui consolident l’essentiel de la jurisprudence et de la pratique décisionnelle en matière de protection des données à caractère personnel. (2 mars 2026) https://urls.fr/CO2vDe

🔒 Renforcement des exigences en matière de cybersécurité et de gestion des incidents

  1. L’ANSSI a mis à jour son MOOC SecNumacadémie. (24 février 2026) https://urls.fr/uubtbu
  2. Après la confirmation par le Conseil d’État de la sanction CNIL de 800 000 € à l’encontre de Cegedim Santé, la société a annoncé avoir été victime, depuis fin 2025, d’un incident de cybersécurité affectant 15 millions de personnes, dont 164 000 données sensibles. (26 février 2026) https://urls.fr/BqzsE2

⏳ À suivre

  1. La Commission européenne a présenté une proposition de loi relative à la sécurisation des marchés publics numériques. (25 février 2026) https://urls.fr/kVsAmP
  2. L’avocat général Rantos a proposé le rejet des pourvois de Meta Platforms Ireland dans le cadre d’une enquête pour abus de position dominante sur l’utilisation des données Facebook Data et le service Facebook Marketplace. (26 février 2026) https://urls.fr/neJh2N

J&Actu Tech & Data

Posted on by Yohan Abriel

[J&Actu Tech & Data]

Retrouvez la veille Tech & Data : le nouveau rendez-vous hebdomadaire lancé par Joffe & Associés !

 

⚖️ Suivi des directives européennes

1. Le Conseil de l’Union européenne a adopté la directive issue du premier paquet « omnibus », révisant les directives CSRD (reporting de durabilité) et CS3D (devoir de vigilance). (24 février 2026) (Source)

2. Malgré la pression européenne, la transposition de la directive NIS2 en France est toujours retardée par des blocages politiques, techniques et des débats sur le chiffrement. (24 février 2026) (Source)

 

🤖 Montée en puissance du contrôle des usages de l’IA

3. Plus de 60 autorités de protection des données ont adopté une déclaration commune sur les images générées par l’IA et les enjeux de vie privée. (23 février 2026) (Source)

4. L’autorité irlandaise a ouvert une enquête européenne visant X, le réseau social d’Elon Musk, concernant la diffusion de deepfakes sexuels générés par son IA Grok. (17 février 2026) (Source)

 

🔐 Précisions du cadre européen en matière de données à caractère personnel

5. Le CEPD a publié un rapport de synthèse sur l’anonymisation et la pseudonymisation, suite à l’arrêt de la Cour de justice de l’Union européenne du 4 septembre 2025 (affaire C-413/23 P EDPS c. SRB). (18 février 2026) (Source)

6. Le CEPD a publié un rapport issu de son action coordonnée sur le droit à l’effacement qui vise à vérifier l’exercice de ce droit ainsi qu’à évaluer la façon dont les responsables de traitement s’y conforment. (18 février 2026) (Source)

 

🔎 Intensification des contrôles et enquêtes

7. La CNIL a conduit des contrôles en 2025 pour vérifier la mise en œuvre du droit à l’effacement dans le cadre d’une action coordonnée européenne, représentant près de 37 % des plaintes reçues par la CNIL. (18 février 2026) (Source)

8. La Commission européenne a ouvert une enquête contre Shein sur le fondement du Digital Services Act (DSA). (17 février 2026) (Source)