Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.
Alors que le dispositif avait suscité de nombreuses critiques au sein d’associations en France, la CNAF a choisi de ne pas renoncer à son algorithme de contrôle des allocataires et vient de déployer un nouveau modèle de «data mining». Cette fois, l’organisme mise sur une communication plus transparente et a décidé
L’encyclopédie en ligne, gratuite et coopérative, a été lancée le 15 janvier 2001. Avec 65 millions d’articles en 326 langues, son succès a dépassé toutes les attentes, malgré les critiques régulière…"
Le 28 janvier 2026, Software Heritage fêtera ses dix ans à l’Unesco. Morane Gruenpeter, directrice de la verticale Open-Science, et Bastien Guerry, responsable des partenariats, présentent cette initiative qui vise à préserver le patrimoine applicatif quelque soit le sort des éditeurs ou les feuilles de route de ceux-ci.
La Commission propose jusqu’au 3 février aux développeurs, entreprises et communautés open source, administrations et chercheurs de contribuer à la future stratégie européenne d’écosystème numérique ouvert. En identifiant les obstacles à l’adoption de l’open source et en suggérant des mesures concrètes.
La Commission européenne a lancé un appel à commentaires pour une nouvelle initiative stratégique intitulée « Vers des écosystèmes numériques ouverts européens », dont l’adoption est prévue au premier trimestre 2026. Motivée par les objectifs essentiels de souveraineté technologique et de cybersécurité, cette initiative vise à réduire la dépendance de l’Union européenne vis-à-vis des infrastructures numériques non européennes en renforçant le secteur open source européen. S’appuyant sur la stratégie 2020-2023 en matière de logiciels open source et complétant la future loi sur le développement du cloud et de l’IA, cette feuille de route vise à identifier les obstacles à l’adoption, à soutenir le développement des communautés et des start-ups open source, et à garantir que les technologies ouvertes dans des secteurs critiques tels que l’IA, le cloud et les applications industrielles soient développées et régies dans un cadre européen sûr, compétitif et transparent.
L’appel à commentaires suscite un certain enthousiasme de la communauté Open Source, avec 334 réponses moins d’une semaine après son ouverture. Cf. ces statistiques.
Continuez la lecture pour le détail des questions posées, quelques éléments de contexte et quelques éléments de réponses possible.
On peut identifier dans l’appel à commentaires une dizaine de questions, divisées en questions explicites (posées spécifiquement aux parties prenantes dans la consultation) et questions implicites (les problèmes sous-jacents que l’initiative cherche à résoudre).
Questions explicites
Ces questions sont répertoriées directement aux pages 3 et 4 afin que les parties prenantes puissent y répondre :
Forces, faiblesses et obstacles : « Quelles sont les forces et les faiblesses du secteur open source de l’UE ? Quels sont les principaux obstacles qui entravent (i) l’adoption et la maintenance d’un open source de haute qualité et sécurisé ; et (ii) les contributions durables aux communautés open source ? »
Valeur ajoutée : « Quelle est la valeur ajoutée de l’open source pour les secteurs public et privé ? Veuillez fournir des exemples concrets, y compris les facteurs (tels que le coût, le risque, la dépendance, la sécurité, l’innovation, entre autres) qui sont les plus importants pour évaluer la valeur ajoutée. »
Mesures concrètes de l’UE : « Quelles mesures et actions concrètes peuvent être prises au niveau de l’UE pour soutenir le développement et la croissance du secteur open source de l’UE et contribuer à la souveraineté technologique et au programme de cybersécurité de l’UE ? »
Priorités : « Quels domaines technologiques devraient être prioritaires et pourquoi ? »
Compétitivité et résilience : « Dans quels secteurs une utilisation accrue de l’open source pourrait-elle conduire à une compétitivité et une cyber-résilience accrues ? »
Questions implicites
Voici les questions fondamentales qui motivent la nécessité de cette initiative pour la Commission, que l’on retrouve tout au long du contexte politique et de la définition du problème (pages 1-2) :
Souveraineté : Comment l’UE peut-elle réduire sa dépendance vis-à-vis des pays tiers en matière d’infrastructures numériques et reprendre le contrôle de sa sphère numérique ?
Passage à l’échelle : Comment l’UE peut-elle aller au-delà du financement de la recherche et de l’innovation pour soutenir réellement le passage à l’échelle, le déploiement industriel et la viabilité commerciale des innovations open source ?
Administration publique : Comment le secteur public (États membres et régions de l’UE) peut-il mieux adopter les solutions open source afin d’éviter la dépendance vis-à-vis d’un fournisseur et d’accroître la transparence ?
Durabilité : Comment l’UE peut-elle garantir que la valeur générée par les projets open source n’est pas uniquement exploitée en dehors de l’UE et que les développeurs européens ont accès au capital et aux infrastructures nécessaires à leur croissance ?
Sécurité : Comment tirer parti des logiciels open source pour améliorer la transparence de la chaîne d’approvisionnement et la gestion des vulnérabilités en matière de cybersécurité ?
Bilan de la Stratégie Open Source 2020-2023 de la Commission européenne
Comme indiqué en intro, cette consultation a pour but (entre autres) de réviser la Stratégie Open Source 2020-2023 de la Commission européenne. Voici une analyse rapide de son bilan.
Cette stratégie se définissait par son slogan "Think Open". Le point clef, qu’on lui a reproché à son époque, est qu’elle était principalement une stratégie de transformation interne et culturelle (comment la Commission gère son informatique), plutôt qu’une stratégie de politique industrielle (comment l’Europe construit sa filière).
1. Forces, faiblesses et barrières
Analyse de la stratégie 2020-2023 : La stratégie identifiait correctement la force de l’Open Source comme levier d’innovation et de co-création.
Limite/Impact : Elle s’est concentrée sur les barrières administratives internes (simplifier la bureaucratie pour permettre aux fonctionnaires de contribuer au code). Elle a largement ignoré les barrières de marché (financement, concurrence déloyale des géants US) qui pèsent sur le secteur privé européen.
Bilan : Elle a réussi à lever des blocages juridiques internes, mais n’a eu que peu d’impact sur la fragmentation du marché européen.
2. Valeur ajoutée pour les secteurs public et privé
Analyse de la stratégie 2020-2023 : Elle a parfaitement théorisé la valeur ajoutée pour le secteur public : « Argent public, Code public », éviter le verrouillage propriétaire (vendor lock-in), et l’interopérabilité.
Limite/Impact : La stratégie visait à « montrer l’exemple » (lead by example). Cependant, l’impact réel sur le secteur privé est resté marginal, car la Commission a continué, paradoxalement, à dépendre massivement de solutions propriétaires (Microsoft 365) durant cette période, affaiblissant la portée de son message sur la valeur ajoutée de l’Open Source.
3. Mesures concrètes au niveau de l’UE
Analyse de la stratégie 2020-2023 : La mesure phare et le grand succès de cette stratégie a été la création du bureau de programme Open Source (OSPO) de la Commission ("OSOR"). Elle a aussi facilité la publication de logiciels comme EUSurvey ou LEOS.
Limite/Impact : Ces mesures étaient centrées sur l’institution (« Inner Source »). Il manquait des mesures de soutien financier direct à l’écosystème (type « Fonds Souverain ») qui sont demandées aujourd’hui.
4. Priorités technologiques
Analyse de la stratégie 2020-2023 : La stratégie mentionnait le Cloud, l’IA et la Blockchain de manière générique.
Limite/Impact : Elle manquait de ciblage stratégique. Elle traitait l’Open Source comme une méthode de travail, et non comme une brique de souveraineté pour des technologies critiques spécifiques (comme le demande aujourd’hui la Feuille de route sur le Cloud/Edge).
5. Compétitivité et résilience
Analyse de la stratégie 2020-2023 : Le document mentionnait la « souveraineté technologique » en introduction, citant Ursula von der Leyen.
Limite/Impact : L’approche est restée très « soft power » (influence par l’exemple). Elle n’a pas suffi à créer une résilience face aux chocs géopolitiques ou à l’extraterritorialité du droit américain (Cloud Act), car elle ne s’accompagnait pas d’une politique industrielle agressive.
6. Souveraineté (réduire la dépendance)
Bilan 2020-2023 : La stratégie posait le principe « Stay in control » (Garder le contrôle).
Réalité : C’est sans doute l’échec principal de la période. Malgré la stratégie, la dépendance de l’Europe aux hyperscalers non-européens s’est accrue (cf Asteres). La stratégie a sous-estimé la difficulté de migrer des infrastructures critiques vers de l’Open Source sans investissement massif dans des alternatives industrielles européennes.
7. Passage à l’échelle (upscaling)
Bilan 2020-2023 : La stratégie encourageait le partage et la réutilisation (Reuse).
Réalité : Le passage à l’échelle a été limité à des outils de niche (sondages, légistique). La stratégie n’a pas fourni les mécanismes pour transformer des projets Open Source européens en géants technologiques capables de rivaliser mondialement.
Réalité : La création de l’OSPO a été un modèle positif suivi par certains États membres (ex: France - avec les limites que l’on sait, Allemagne, Pays-Bas…). Cependant, l’adoption reste très hétérogène. La stratégie manquait de “dents” (obligations contraignantes) pour forcer l’adoption des logiciels libres et des standards ouverts dans les marchés publics des États membres.
9. Durabilité (modèles économiques et maintenance)
Bilan 2020-2023 : La stratégie prévoyait que les développeurs de la Commission puissent contribuer “incidemment” aux projets externes.
Réalité : C’est une réponse insuffisante au problème de la maintenance des infrastructures critiques (le problème de « l’inconnu du Nebraska »). Le bénévolat ou les contributions ponctuelles de fonctionnaires ne remplacent pas un financement structurel des fondations et des mainteneurs, point soulevé par les experts (Doc 3).
10. Sécurité (supply chain)
Bilan 2020-2023 : Point fort de la stratégie via le programme EU-FOSSA (audits de sécurité financés par l’UE).
Réalité : La Commission a bien identifié que « Open Source = transparence = sécurité potentielle ». Cependant, l’approche était réactive (audit de l’existant). La nouvelle période (2024+) doit gérer les effets de bord du Cyber Resilience Act (CRA), qui a créé une insécurité juridique pour les développeurs Open Source que la stratégie 2020-2023 n’avait pas anticipée.
Conclusion de l’analyse
La stratégie 2020-2023 a été une étape culturelle nécessaire mais insuffisante.
Son mérite : Elle a légitimé l’Open Source au cœur de l’administration européenne (création de l’OSPO, changement de mentalité).
Sa limite : Elle est restée une stratégie informatique interne (« Comment la Commission utilise le logiciel libre ») et non une stratégie politique (« Comment l’Europe utilise le logiciel libre pour sa souveraineté »).
Nous appelons donc à ce que la nouvelle initiative (2026) opère ce basculement : passer de l’Open Source comme « bonne pratique administrative » à l’Open Source comme « arme de souveraineté industrielle ».
1. Forces, faiblesses et obstacles du secteur open source de l’UE
Forces :
Engagement politique et financier : l’Europe a démontré son engagement à travers le financement de la recherche (Horizon Europe, Digital Europe) et des cadres politiques (Data Act) qui favorisent la transparence (*p. 16-17).
Écosystème en pleine croissance : on observe une expansion des fournisseurs européens de cloud et d’edge open source proposant des alternatives conformes au RGPD, ainsi que de grands consortiums multipartites (bien qu’ils soient confrontés à des défis) et des collaborations avec des instituts de recherche (p. 18-19).
Cadres spécialisés : L’Europe assiste à l’adoption croissante de cadres open source spécialisés dans l’IoT dans des secteurs tels que l’industrie manufacturière et l’énergie (p. 19).
Faiblesses :
Domination des technologies non européennes : le marché est fortement influencé par les technologies propriétaires et les hyperscalers non européens, en particulier dans les domaines du cloud, de l’edge computing et des technologies de conteneurisation (p. 20).
Fragmentation : Les initiatives nationales sont souvent fragmentées et manquent de coordination au niveau européen (p. 17).
Problèmes de gouvernance : De nombreux projets, même ceux qui bénéficient de contributions européennes, sont gérés par des entités non européennes (par exemple, la Linux Foundation), ce qui peut entraîner un décalage par rapport aux intérêts européens (p. 26).
Principaux obstacles :
(i) À l’adoption et à la maintenance :
Obstacles à l’interopérabilité : Il existe un manque de « normes véritablement ouvertes » universellement adoptées et développées par des entités européennes. Cela entraîne une complexité d’intégration et des frictions entre les outils propriétaires et les outils open source (p. 24).
Sensibilisation du marché et discours : les PME et les entreprises hésitent en raison d’idées fausses sur la complexité et le soutien, souvent alimentées par les discours marketing des fournisseurs dominants non européens (p. 25).
Pénurie de compétences : l’offre de professionnels maîtrisant les technologies open source européennes, l’orchestration du cloud et la cybersécurité est insuffisante (p. 25-26).
(ii) Vers des contributions durables :
Contraintes en matière de ressources et de financement : De nombreux projets essentiels dépendent de contributions bénévoles et de financements sporadiques. Le paysage actuel favorise souvent les grands projets bien établis, laissant les petites initiatives européennes innovantes sous-financées (p. 24-25).
2. Valeur ajoutée pour les secteurs public et privé
Le document identifie la valeur ajoutée dans plusieurs dimensions, en se concentrant principalement sur la souveraineté numérique, la sécurité, la résilience économique et la durabilité.
Exemples concrets et facteurs :
Administration publique :
Souveraineté et contrôle : l’adoption de l’open source européen permet aux institutions de garder le contrôle sur le traitement et le stockage des données, réduisant ainsi leur dépendance vis-à-vis de fournisseurs étrangers soumis à des lois extraterritoriales (par exemple, la section 702 de la loi américaine FISA).
Sécurité et conformité : la transparence totale du code permet un audit rigoureux, garantissant la conformité avec les directives RGPD et NIS.
Coût et transparence : cela réduit les coûts d’approvisionnement/de licence et favorise la confiance du public grâce à des systèmes transparents (p. 50).
Secteur privé (général et PME) :
Innovation : cela réduit les barrières à l’entrée pour les PME, leur permettant d’être compétitives en tirant parti d’une infrastructure abordable et personnalisable. Cela accélère les cycles de développement grâce à l’innovation collaborative (p. 13).
Réduction des risques : cela évite la dépendance vis-à-vis d’un fournisseur associée aux normes propriétaires (p. 11).
Fabrication (industrie 4.0) :
Efficacité opérationnelle : permet une maintenance prédictive et une surveillance en temps réel.
Flexibilité : les normes ouvertes permettent l’intégration transparente de nouvelles technologies dans les systèmes existants, évitant ainsi la dépendance (p. 51).
3. Mesures et actions concrètes au niveau de l’UE
La feuille de route propose des actions (70 au total) réparties en cinq piliers afin de soutenir le secteur et de contribuer à la souveraineté et à la cybersécurité, notamment :
1. Développement technologique :
Normes : définir et imposer une « interopérabilité exécutoire » basée sur des normes véritablement ouvertes pour toutes les infrastructures numériques financées par l’UE (p. 28-29).
Financement : créer un « Fonds européen pour la souveraineté open source » (NB : EOSSF → EU-STF) pour les projets fondamentaux (p. 30).
Architectures de référence : développer des implémentations de référence spécifiques à chaque secteur (par exemple, pour les soins de santé ou l’énergie) (p. 30-31).
2. Développement des compétences :
Formation et certification : Lancer des programmes de certification pour la maîtrise de l’open source européen et financer des ateliers de formation axés sur l’industrie (p. 32-33).
Éducation : Intégrer les principes de l’open source dans les programmes d’études STEM et créer des centres d’excellence dans les universités (p. 34).
3. Pratiques d’approvisionnement :
Politique : Adopter des politiques « Fonds publics, code public, open source d’abord, préférence européenne » (p. 36).
Lignes directrices : Créer des guides d’évaluation pratiques et un répertoire de solutions européennes recommandées à l’intention des responsables des marchés publics (p. 37-38).
4. Croissance et investissement :
Plateforme d’investissement : créer une « plateforme européenne d’investissement dans l’open source » (EOSIP) afin de consolider les informations sur le financement (p. 41).
Image de marque : lancer une initiative de promotion de l’image de marque afin de mettre en avant la sécurité et la souveraineté des projets européens (p. 43).
5. Gouvernance :
Analyse de sécurité : donner la priorité aux évaluations de vulnérabilité pour les projets critiques et collaborer avec les agences de cybersécurité (p. 45).
Comité consultatif : former un comité consultatif européen sur l’open source afin de superviser le financement et l’orientation (p. 47).
4. Domaines technologiques prioritaires
La feuille de route donne explicitement la priorité aux technologies Cloud, Edge et Internet des objets (IoT).
Pourquoi ces technologies sont-elles prioritaires ?
Épine dorsale de l’infrastructure : ces technologies constituent « l’épine dorsale de l’infrastructure numérique moderne » et sont essentielles pour la sécurité nationale et économique (p. 10).
Dépendance actuelle : l’Europe est fortement dépendante des hyperscalers non européens dans ces domaines, ce qui pose des risques en matière de confidentialité des données, de sécurité nationale et de résilience opérationnelle (p. 10).
Tendances émergentes : certains sous-domaines sont mis en avant comme étant essentiels pour la souveraineté future :
Edge Computing : essentiel pour réduire la latence et assurer la souveraineté des données (en gardant le traitement proche de la source) (p. 20).
Conteneurisation/Orchestration : critiques pour l’évolutivité, mais actuellement dominées par des entités non européennes (p. 20).
IA/apprentissage automatique : l’intégration de l’IA dans les appareils périphériques, pour l’IoT industriel et les systèmes autonomes (p. 20).
NB: d’autres domaines prioritaires peuvent également être mis en avant, en dehors de la feuille de route, notamment le collaboratif (bureautique).
5. Secteurs pour une compétitivité et une cyber-résilience accrues
Le document identifie les secteurs suivants dans lesquels l’open source peut stimuler la compétitivité et la résilience (p. 50-53) :
Administration publique : renforce la confiance, la souveraineté des données et réduit les coûts.
Fabrication (industrie 4.0) : améliore l’efficacité de la production, réduit les déchets et empêche la dépendance vis-à-vis d’un fournisseur.
Santé : sécurise les données sensibles des patients, permet l’interopérabilité entre les systèmes (par exemple, les dossiers médicaux électroniques) et accélère la recherche médicale.
Énergie : optimise la gestion de l’énergie (réseaux intelligents), intègre les énergies renouvelables et réduit la consommation énergétique des centres de données.
Autres secteurs : transports, agriculture, finance, éducation, villes intelligentes et industrie spatiale (en particulier l’analyse des données d’observation de la Terre) (p. 53).
Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.
TRIBUNE. L’essor de l’intelligence artificielle, et avec elle d’images produites rapidement, a entraîné un appauvrissement de la créativité en ligne, au point de susciter une vague de nostalgie pour le Web tel qu’il existait auparavant, souligne Fabrizio Defilippi, spécialiste des cultures numériques, dans une tribune au «Monde».
CHRONIQUE. La concurrence entre modèles propriétaires et modèles ouverts et gratuits d’intelligence artificielle est au cœur de l’affrontement économique et idéologique entre l’Amérique de Trump et la Chine de Xi Jinping, explique Alexandre Piquard dans sa chronique.
La Commission européenne entend renforcer la souveraineté numérique de l’UE en favorisant la commercialisation des logiciels open source développés en Europe, selon une consultation publiée mardi 6 janvier.
✍ Steven Vaughan-Nichols, le lundi 5 janvier 2026.
Linux et l’open source s’apprêtent à connaître une année faste, avec la croissance de PDM sur les ordinateurs de bureau, la montée en puissance de Rust et toujours plus de sécurité.
Le Département de Côte-d’Or a lancé, fin décembre, son propre service de navigation virtuelle sur le réseau routier. Une façon d’assurer son indépendance face à l’hégémonie du géant Google Street View.
En bref. Et vous, qui soutenez-vous? Ce que peuvent faire les entreprises contre l’exclusion numérique, par Emmaüs Connect. Lyon, Grenoble et d’autres villes, retours d’expérience sur l’adoption de solutions libres
Au nom de la compétitivité, une « révolution en matière de simplification » se prépare.
Les institutions de l’UE l’avaient promis en novembre 2024, à l’issue du Sommet de la communauté politique européenne. Elles s’étaient engagées à « réduire drastiquement les charges administratives, réglementaires et de déclaration, en particulier pour les PME ».
La Commission européenne a repris ces éléments dans son programme de travail pour 2025. Annoncé le 11 février, il comporte des objectifs chiffrés : d’ici à la fin du mandat en 2029, réduire le « fardeau administratif » de 25 % (et de 35 % pour les PME).
Deux semaines plus tard étaient présentés deux trains de mesures, dits omnibus. L’un assouplit les exigences de reporting extra-financier, notamment en réduisant le champ d’application de la directive CSRD (informations en matière de durabilité) et en reportant l’entrée en application de certaines de ses dispositions. L’autre applique la même logique aux règlements InvestEU et EFSI, dans le but de stimuler les investissements stratégiques.
L’omnibus numérique apporte des changements à l’AI Act. Il prévoit notamment de décaler l’entrée en application des règles relatives au système d’intelligence artificielle classés à haut risque. L’échéance, initialement fixée à août 2026, pourra être repoussée de 16 mois maximum, le temps de mettre des outils de soutien à disposition des entreprises.
L’AI Act serait aussi modifier pour étendre aux small caps certaines simplifications accordées aux PME qui développent ou utilisent des systèmes d’IA. Notamment en matière de documentation technique. Par small cap, il faut entendre les organisations comptant moins de 750 salariés et ne dépassant pas 150 M€ de CA annuel ou 129 M€ de total de bilan. Une catégorie créée à l’échelle de l’UE par un autre paquet omnibus.
Toujours au chapitre AI Act, l’accès aux bacs à sable réglementaires (environnements de tests contrôlés) est élargi. Davantage de tests en conditions réelles seront par ailleurs effectués, dans des secteurs comme l’automobile.
Allégements autour d’un « nouveau Data Act »
L’omnibus numérique abroge plusieurs textes dont il fusionne certaines dispositions au sein du Data Act :
Data Governance Act (règlement 2022/868)
Directive Open Data (2019/1024)
Règlement sur la libre circulation des données à caractère non personnel au sein de l’UE (2018/1807, dit FFDR)
Le « nouveau Data Act » apporte, entre autres, des facilités pour les PME qui fournissent des services de traitement de données. Plus précisément, un régime plus « léger » pour les services « personnalisés » (non commercialisés sur étagère et qui ne fonctionneraient pas sans une adaptation préalable aux besoins de l’utilisateur).
Des facilités sont également octroyées aux fournisseurs de services d’intermédiation de données. Ils n’ont pas l’obligation de notifier les autorités compétentes, ni d’opérer une séparation juridique vis-à-vis d’autres services (une séparation fonctionnelle suffit).
L’omnibus supprime aussi, dans le Data Act, les exigences pour les smart contracts qui exécutent des accords de partage de données (contrôle de l’accès, archivage, résilation en toute sécurité…). Il fournit par ailleurs un motif supplémentaire pour refuser de communiquer des données relatives à des produits connectés au nom du secret des affaires. En plus du risque de préjudice économique grave, il devient possible d’invoquer le risque élevé d’acquisition ou d’usage par des pays tiers qui ne garantissent pas un niveau de protection des données équivalent à celui de l’UE.
PME et small caps sont de plus exemptées des règles sur le changement de fournisseur cloud, excepté celles relatives à la fin des frais de sortie.
Le RGPD assoupli jusqu’à la définition des données personnelles
L’omnibus numérique apporte aussi des modifications au RGPD… qui change jusqu’à la définition des données personnelles.
Celles-ci ne le sont plus pour toute entité qui ne peut pas réidentifier la personne concernée à l’aide de moyens raisonnables. Cela reste vrai même si un destinataire ultérieur a les moyens de réaliser cette identification.
Le périmètre des « données de santé » se réduit aussi. Ne sont plus considérées comme telles que celles qui révèlent « directement » des infos sur l’état de santé d’une personne. De même, n’est plus interdit que le traitement de données personnelles révélant « directement » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.
L’omnibus numérique introduit une dérogation supplémentaire à l’interdiction de traiter des catégories particulières de données personnelles. Elle touche au développement et à l’exploitation de systèmes d’IA. Elle complète, entre autres, l’obtention d’un consentement explicite et la nécessité pour la sauvegarde des intérêts vitaux de la personne concernée.
Des contraintes en moins sur l’information des personnes concernées et des autorités
Les règles relatives aux cookies sont modernisées. L’idée est que les utilisateurs puissent définir leurs préférences « en un clic » pour une durée de 6 mois ou via les paramètres de leur navigateur ou OS. En parallèle, certaines fonctions basiques des sites web, comme le comptage du nombre de visiteurs, ne nécessitent plus de consentement.
Autres exigences allégées : celles relatives à l’information des personnes concernées. Elles ne s’appliquent plus dès lors que les collectes sont effectuées dans le cadre d’une relation « claire et délimitée » par un responsable de traitement exerçant une activité « non intensive en données ». Ce sous réserve que la personne connaisse déjà les finalités et la base du traitement.
Quant à l’obligation de notifier l’autorité référente en cas de violation de données, elle devient limitée aux incidents qui engendrent un risque élevé pour les droits et libertés des personnes concernées. Le délai est porté de 72 à 96 heures.
L’abandon de la directive sur la responsabilité en matière d’IA…
Parallèlement à ces dispositifs, la Commission européenne a abandonné ses travaux sur certains textes. Parmi eux, une directive sur la responsabilité en matière d’IA. Motif : pas d’accord prévisible entre les colégislateurs de l’UE.
Il s’agissait de garantir aux victimes de dommages causés par l’IA une protection équivalente à celle des victimes de dommages causés par d’autres produits de manière générale. En toile de fond, des règles nationales jugées non adaptées au traitement des actions en responsabilité pour de tels dommages. En particulier sur la charge de la preuve. Autre constat : les stratégies IA de plusieurs États membres montraient une volonté d’élaborer des mesures dans le domaine… au risque d’une fragmentation qui augmenterait les coûts pour les entreprises exerçant dans l’ensemble de l’Union.
La directive devait s’appliquer aux actions civiles fondées sur une faute extracontractuelle pour des dommages causés par un système d’IA classé « à haut risque ». Elle avait pour principaux effets d’habiliter les juridictions nationales à ordonner la divulgation d’éléments de preuve et d’établir une présomption de lien de causalité. L’approche d’harmonisation était dite minimale, de sorte qu’on pourrait toujours invoquer les règles plus favorables du droit national.
… et du règlement ePrivacy
Un autre texte a été mis sur la touche : le règlement ePrivacy. Là aussi par manque de perspective d’accord entre législateurs. Mais également parce que son contenu apparaissait « obsolète au vu de la législation récente ».
Le règlement était resté à l’état de projet depuis 2017. L’objectif était initialement de le faire entrer en application parallèment au RGPD (soit le 25 mai 2018). Il aurait remplacé une directive de 2002, révisée pour la dernière fois en 2009, et également dite ePrivacy – ou « vie privée et communications électroniques ». D’un côté, pour encadrer plus strictement l’usage des métadonnées et des cookies. De l’autre, pour élargir son champ aux services de communication « par contournement » (OTT, over-the-top).
Le « nouvel ePrivacy » devait englober davantage de techniques de suivi du comportement en ligne. Et remédier à la « formulation confuse » de certaines dispositions de la directive. L’une touchait au consentement dans le cadre du suivi en ligne. Les modifications proposées avaient entraîné une levée de boucliers d’éditeurs de presse et de représentants du numérique et des télécoms.
Une disposition nouvelle aurait obligé les fournisseurs de logiciels et de matériels associés à des services de communication à proposer, dans les paramètres de configuration, la possibilité de refuser les cookies tiers. Une autre aurait imposé de présenter un code ou un indicatif spécifique montrant le caractère commercial d’appels téléphoniques.
AI Act : une entrée en application (très) progressive
Le RGPD est en application depuis le 25 mai 2018. Le Data Act, depuis le 12 septembre 2025. Concernant l’AI Act, une première salve de dispositions sont applicables depuis février. Une bonne partie ont pour effet d’exclure du champ du règlement certains systèmes et usage. Par exemple :
Systèmes d’IA utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale
Systèmes ou modèles d’IA spécifiquement développés et mis en service uniquement à des fins de R&D scientifique
Systèmes d’IA publiés sous licence ouverte, tant qu’ils ne sont pas mis sur le marché ou mis en service en tant que système à haut risque ou relevant d’usages que l’AI Act interdit
Parmi ces usages interdits, il y a la techniques subliminales ou délibérément trompeuses, la « notation sociale » et l’exploitation de vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique. Pour aider à leur interprétation, la Commission européenne a publié des lignes directrices.
Des pressions face aux règles applicables à ChatGPT & Cie
Une deuxième série de mesures de l’AI Act est entrée en application au mois d’août. Parmi elles, les obligations faites aux fournisseurs de modèles d’IA à usage général – ChatGPT, Gemini, Claude, etc.
En amont, l’association EU AI Champions, qui regroupe une soixantaine d’entreprises européennes, avait demandé un moratoire de 2 ans sur l’application des principales obligations. Motif : la complexité du texte et l’absence de lignes directrices opérationnelles. Parmi les signataires, Arthur Mensch (Mistral AI), Éléonore Crespo (Pigment), Alexandre Bompard (Carrefour), Jean-Laurent Bonnafé (BNP Paribas), Bernard Charlès (Dassault Systèmes), Guillaume Faury (Airbus) et Patrick Pouyanné (TotalEnergies).
L’association professionnelle CCIA Europe, représentant de grandes entreprises technologiques internationales, avait également appelé à un report, soulignant le risque de freiner l’innovation et la compétitivité.
La France avait adopté une position intermédiaire. Clara Chappaz, ministre déléguée au numérique, avait souhaité que la mise en œuvre du règlement ne soit pas ralentie, mais qu’un délai de grâce soit accordé pour la mise en conformité.
La présidence polonaise du Conseil de l’UE, comme le Premier ministre suédois, avait porté une demande formelle de report.
Le débat se porte sur la révision du DMA
Entre juillet et septembre 2025, la Commission européenne a organisé une consultation publique. Cela préfigure la première évaluation du DMA (une démarche à boucler au plus tard le 3 mai 2026 et qui pourrait mener à des modifications).
Le règlement s’applique actuellement à une vingtaine de « services de plate-forme essentiels » dont les exploitants sont nommés « contrôleurs d’accès » (gatekeepers). Il est censé garantir la contestabilité et l’équité des marchés dans le secteur numérique de l’UE, à travers des règles touchant notamment à l’exploitation de données, à l’interopérabilité et aux relations contractuelles avec les entreprises utilisatrices des services en question.
Dans le contexte de pression sur la Commission européenne, la Chambre de commerce de République tchèque s’est inscrite dans la lignée du rapport Draghi pour réclamer des allégements du DMA.
L’Open Cloud Coalition (alliance de fournisseurs essentiellement britanniques) a suivi. Elle estime que le DMA n’est pas adapté au cloud, mieux couvert par les règles antitrust standards ; en tout cas pour le IaaS et le PaaS, dont le fonctionnement n’implique pas réellement d’intermédiaires entre des utilisateurs et des fournisseurs de services.
La pression réglementaire européenne sur les géants technologiques américains s’intensifie. Ce 9 décembre, la Commission européenne ouvre une enquête antitrust visant Google, filiale d’Alphabet. En cause : l’utilisation de contenus en ligne d’éditeurs et de vidéos YouTube pour entraîner ses modèles d’intelligence artificielle.
Il s’agit de la deuxième investigation contre Google en moins d’un mois, témoignant des inquiétudes croissantes de Bruxelles face à la domination des Big Tech dans les nouvelles technologies émergentes. Cette offensive intervient quelques jours seulement après le lancement d’une enquête similaire visant Meta, accusé de bloquer l’accès de concurrents à son système de messagerie WhatsApp.
Des pratiques jugées déloyales
Concrètement, Bruxelles s’inquiète de l’utilisation par Google des contenus d’éditeurs pour générer ses résumés alimentés par l’IA, appelés AI Overviews, sans compensation adéquate et sans donner aux éditeurs la possibilité de refuser. Les mêmes préoccupations concernent l’exploitation des vidéos YouTube téléchargées par les utilisateurs.
Ces AI Overviews, déployés dans plus de 100 pays ( pas en France, NDLR), apparaissent au-dessus des liens hypertextes traditionnels vers les pages web pertinentes. Google a d’ailleurs commencé à y intégrer de la publicité depuis mai dernier.
« Un écosystème d’information sain dépend du fait que les éditeurs disposent des ressources nécessaires pour produire un contenu de qualité. Nous ne permettrons pas aux contrôleurs d’accès de dicter ces choix », a martelé Teresa Ribera, commissaire européenne chargée de la concurrence, en référence au DMA (Digital Markets Act) qui s’applique actuellement à une vingtaine de « services de plate-forme essentiels » dont les exploitants sont nommés » contrôleurs d’accès » (gatekeepers).
Google conteste les accusations
Google a immédiatement rejeté ces accusations, comme il l’avait déjà fait en juillet face à la plainte des éditeurs indépendants qui a déclenché cette enquête. « Cette plainte risque d’étouffer l’innovation sur un marché plus concurrentiel que jamais », a réagi un porte-parole.
Du côté des plaignants, l’Independent Publishers Alliance, le Movement for an Open Web et l’ONG britannique Foxglove ne décolèrent pas. « Google a rompu le pacte qui sous-tend Internet. L’accord était que les sites web seraient indexés, récupérés et affichés lorsqu’ils sont pertinents pour une requête. Tout le monde avait une chance », a déclaré Tim Cowen, avocat conseillant ces groupes, cité par Reuters. « Maintenant, il met son AiO, Gemini, en premier et ajoute l’insulte à l’injure en exploitant le contenu des sites web pour entraîner Gemini. Gemini est le jumeau maléfique de Search.»
Si Google est reconnu coupable de violation des règles antitrust de l’UE, l’amende pourrait atteindre 10% de son chiffre d’affaires annuel mondial.
En septembre dernier, Google a écopé d’une amende de près de 3 milliards € pour avoir favorisé ses propres services de technologie publicitaire. Au total, les amendes infligées par l’UE dépassent 9,5 milliards €, incluant 4,13 milliards pour Android et 2,42 milliards pour avoir écrasé des rivaux dans la recherche shopping. Une pénalité de 1,49 milliard pour AdSense a toutefois été annulée l’année dernière.
Afin d'accélérer la décarbonation de nos déplacements et faciliter le report modal, l'État français dispose d'un point d'accès national (le PAN) qui centralise toutes les données de transport et les mets à disposition d'un écosystème riche et diversifié de réutilisateurs, dont les grands calculateurs d’itinéraires.
Découvrez avec Maxime Siret, son responsable :
l'histoire et le fonctionnement du PAN
ce que sont les startups d'état incubées à la Direction interministérielle du numérique (DINUM) et leurs fonctionnements
l'environnement dans lequel le PAN évolue
qui sont les producteurs et réutilisateurs des données
comment le PAN facilite le dialogue entre les acteurs
la mesure de l'impact du PAN
les défis à venir
Bonne écoute.
Une transcription est aussi disponible.
Dès le 20 novembre 2026, le découvert bancaire n’est plus activé par défaut, un examen de solvabilité et un accord explicite s’imposent pour toute autorisation.
Connexion
