Bonjour ☕

Cette édition gratuite de La tech est politique fait un rapide récap de quelques développements notables du mois de février 2025. Au menu :

• La Boussole de compétitivité et le programme de travail de la Commission européenne pour 2025 ;
• Données à caractère personnel et tensions avec l'IA ;
• Sur le volet cyber, on parle câbles sous-marins et réponse à incident au niveau européen ;
• Côté concurrence, on s'intéresse à Apple et Google ;
• Concernant l'IA, on fait un focus sur l'entrée en application des premières obligations de l'AI Act, l'abandon prévu de l'AI Liability Directive et le chemin de croix du code de bonnes pratiques GPAI.

💌 Des questions, un commentaire ou des secrets à partager ? hello@tech-est-politique.eu​

Cette édition compte 1 645 mots, soit ~9 minutes de temps de lecture.

Que s'est-il passé en février ?

Un mois dense, avec énormément d'annonces, de rebondissements et même des retards. Florilège 👇

La Commission publie son programme de travail

La Boussole de la compétitivité est la nouvelle feuille de route stratégique annoncée par Ursula von der Leyen fin janvier 2025. La Boussole vise à renforcer l'autonomie technologique européenne tout en stimulant la croissance des entreprises innovantes, équilibre délicat s'il en est. Elle représente une avancée majeure pour les entrepreneurs tech, notamment grâce à ses mesures de simplification administrative.

Dans la foulée, la Commission a également publié son programme de travail pour 2025. Il vient décliner les engagements de von der Leyen soutenant son 2e mandat (les lignes directrices politiques), les enjeux exprimés dans les missions des Commissaires, les orientations de la Présidence tournante,... Ce programme "planifie" aussi les ambitions de la Boussole de compétitivité et vient acter le devenir des projets transfuges de la précédente mandature. Vous pouvez consulter mon récap illustré des annonces.

Du nouveau pour les données à caractère personnel

Dans son programme de travail, la Commission a bien acté la fin du projet de règlement e-Privacy. Ce règlement porte sur la confidentialité des communications électroniques et a pour objectif de remplacer la Directive éponyme laquelle est dépassée depuis belle lurette. Le texte du règlement avait été présenté en 2017 et est resté bloqué en trilogue depuis 2021.

L'EDPB a publié sa position sur les approches conformes au RGPD des dispositifs de vérification de l'âge en ligne. L'EDPB s'attarde sur les limites de ce qu'il peut être fait avec les données collectées via ce type de dispositifs (respect des libertés fondamentales, non-utilisation à des fins de ciblage commercial, transparence sur les finalités) et recommande la réalisation d'une AIPD (analyse d'impact, cf. article 35 RGPD) systématique avant la mise en oeuvre d'un dispositif de vérification de l'âge en ligne.

Les sujets relatifs aux tensions entre IA et protection des données à caractère personnel se multiplient, posant des questions intéressantes. Fin janvier, la Garante (la CNIL italienne) avait déjà annoncé le blocage de DeepSeek après avoir été saisie par une association de protection des consommateurs. La même approche est amorcée auprès du régulateur en Belgique, en Grèce, au Portugal, en Espagne et en Allemagne ; les autorités de protection des données croate et irlandaise ont demandé des informations à DeepSeek. Côté Pays-Bas, Luxembourg, Chypre et Pologne, des avertissements ont été publiés à destination des citoyens. Une action européenne ne saurait tarder, vu la mobilisation.

💎La tech est politique suit les interactions entre les deux grands corpus (AI Act et RGPD) de près. Nous avons également inclus une section dédiée dans notre formation "Maîtriser l'AI Act".

Dans un arrêt de la CJUE portant sur la transparence de la décision algoritmique (dans le cas de l'évaluation de crédit automatisée), la décision est qu'il revient au responsable du traitement de "décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée".

Câbles sous-marins et réponse à incident

Au Conseil plus tôt ce mois-ci, les représentants des Etats membres ont incité la Commission de travailler sur un plan dédié à la protection des câbles sous-marins. La Commission, conjointement avec la Haute Représentante pour les affaires étrangères, a présenté une communication sur le sujet préfigurant une stratégie concrète et dédiée à venir.

La Commission européenne a mis à jour son plan directeur de réponse aux incidents cyber, le Cyber Blueprint de 2017. Elle souhaite collaborer plus étroitement avec l'OTAN pour protéger les infrastructures critiques.

La bataille de la concurrence

L'Autorité de la concurrence allemande est préoccupée par le cadre ATTF d'Apple (App Tracking Transparency Framework). Il s'agit du système qui recueille le consentement de la personne lorsque ses données à caractère personnel sont traitées à des fins publicitaires par Apple. L'Autorité souligne que les développeurs d'applis sur l'appstore iOS doivent obtenir un consentement supplémentaire de la part des utilisateurs avant d'accéder à certaines données à des fins publicitaires mais Apple ne s'applique pas ces mêmes exigences. Il y aurait donc abus de position dominante par la marque à la pomme.

Toujours dans le domaine de l'abus de position dominante, nous avons le gain de cause par l'Autorité de la concurrence italienne contre Google. Le cas porte sur le refus de Google de permettre l'interopérabilité d'une appli tierce (en l'occurrence, Enel) en vue de fournir des services liés à la recharge de véhicules automobiles électriques avec la plateforme numérique Android Auto. La CJUE a expliqué qu'Adroid Auto, un système d’exploitation pour voitures, est tenu d'assurer l'interopérabilité avec une application d'un acteur non-dominant et ce, même si la plateforme n'est pas indispensable à l'exploitation commerciale de l'application.

L'IA toujours à l'honneur

Je ne vais pas récap le Sommet de l'IA, vous en avez déjà assez entendu parler 😅

L'un des gros sujets du mois est lié à la Directive sur la responsabilité juridique en matière d'IA (ou AI Liability Directive). Portée de manière vocale par le MEP Axel Voss, cette Directive vise à donner un cadre permettant aux consommateurs de chercher réparation en cas de préjudice subi lors de l'utilisation de produits qui intègrent des systèmes d'IA. Dans son programme de travail, la Commission a annoncé l'abandon des travaux sur ce texte, resté en attente depuis 2022 en raison de l'élaboration de l'AI Act. Depuis, les eurodéputés de la commission IMCO (marché intérieur) se déchirent sur "ok, on laisse tomber" (les MEP à droite dans l'hémicycle) et "non, on continue et maintient" (les MEP à gauche). La Commission doit justifier de sa décision d'ici juin.

Une autre grande échéance est arrivée début février : l'entrée en application des premières obligations de l'AI Act (sur les modèles prohibés et la littératie à l'IA). La Commission a été prise de court, visiblement, parce qu'elle a publié ses lignes directrices avec 4 jours de retard. Comme c'est le cas avec ce type de document, ces lignes ne sont pas contraignantes mais visent à aider les fournisseurs, les institutions et les autres acteurs de l'écosystème à mettre en application l'AI Act plus efficacement. En l'occurrence, le document fournit des critères pour savoir si un système peut être considéré comme de l'IA au sens de l'AI Act.

Le code de bonnes pratiques pour les IA à usage général (general purpose AI ou GPAI) ne finit pas d'être publié. Je vous en parle tous les mois, de façon plus ou moins détaillée, parce que c'est un document fait par de multiples parties prenantes - un des nombreux contre-exemples de la rengaine que l'UE fait des trucs dans son coin - ce que des Big Tech dénoncent comme étant inefficace parce qu'elles s'opposent aux règles... (surprise sur prise). Bref, le Code donc, devait être publié en sa 3e version la semaine du 17 février. Mais... la frise chronologique sur le site de la Commission a été remaniée pour indiquer "en mars". Ainsi, cela repousse les échéances : au lieu d'une présentation en avril 2025, le Code serait finalisé en mai. Or, l'AI Act dispose que ce Code doit être prêt pour le 2 mai 2025.

💎Les abonnés premium de La tech est politique ont reçu, entre autres :

• ​une analyse des directions stratégiques européennes sur le numérique, avec approfondissement sur ce qu'apporte la Boussole de compétitivité ;
• ​une analyse complète du programme de la Commission pour 2025 avec les angles morts et les annonces d'investissements ;
• ​des analyses sur les mesures de la Commission dans l'e-commerce et sur la signification des exigences de l'AI Act applicables depuis le 2 février dernier ;
• un Précis de résilience avec les éléments nécessaires pour bâtir une stratégie de sauvegardes qui tienne.

🎁Vous êtes dans l'édition gratuite mais pas de panique : vous pouvez vous abonner et recevoir toutes les analyses pendant une année 👇

€249.90 / year La tech est politique : Votre avantage stratégique dans le paysage numérique européen Naviguez avec confiance dans la complexité réglementaire de l’UE et transformez les défis en opportunités pour votre... Read more Je m'abonne

​

👉 Si vous ne souhaitez pas vous abonner, vous resterez en abonnement gratuit ; vous n'aurez pas accès aux ressources premium 💎(analyses, dossiers thématiques, agenda, etc.).

🙏 Merci d'avoir lu cette édition de La tech est politique !

Si vous avez des commentaires ou des questions sur cette édition, n'hésitez pas à répondre à ce message.

🌞 Si vous avez apprécié cette édition, pensez à la partager avec vos collègues. Ensemble, aidons à diffuser la compréhension de l'Europe du numérique.

À dans un mois !