Bonjour ☕

Cette édition gratuite de La tech est politique fait un rapide récap des développements notables des mois de juillet-août 2025. Au menu :

• IA : un appétit industriel pour des “gigafabriques”, un Code de bonnes pratiques et des lignes directrices sur les modèles à usage général.
• RGPD : des batailles judiciaires autour du modèle “pay or consent”, des tensions sur la simplification et premiers dialogues de mise en œuvre.
• Cybersécurité : des avancées sur NIS2, une révision du Cybersecurity Act pour inclure les risques géopolitiques, des débats allemands sur la “souveraineté numérique”.
• Concurrence : une première évaluation du DMA et une tentative de recentralisation des outils nationaux de concurrence.
• Contenus en ligne : la saga française des sites pornographiques, de premières analyses de risques DSA, un consensus parlementaire sur la protection des mineurs.
• Politique industrielle : la stratégie quantique européenne et une consultation sur le 28e régime.

💌 Des questions, un commentaire ou des secrets à partager ? hello@tech-est-politique.eu​

Cette édition compte 1 645 mots, soit ~9 minutes de temps de lecture.

Un été dense, avec énormément d'annonces, de rebondissements et même des retards. Florilège 👇

L'IA toujours à l'honneur

Alors que les débats sur l'autonomie stratégique européenne s'intensifient et que la course à l'IA alimente les spéculations sur une potentielle "bulle IA" comparable à la "bulle dotcom", la dynamique européenne actuelle dessine l'émergence d'un véritable écosystème IA continental. Cette structuration repose sur une combinaison d’intentions d'investissements massives, d'une architecture réglementaire étoffée et d'une séquence politique qui ménage l'adaptation des acteurs existants au nouveau cadre légal.

​La Commission a annoncé le succès quantitatif des "gigafabriques IA" destinées à entraîner et déployer des modèles d'IA générative. La réponse industrielle dépasse toutes les attentes : 76 manifestations d'intérêt reçues, bien au-delà des 5 gigafabriques initialement visées par la Commission. Les montants en jeu révèlent l'ampleur des enjeux économiques perçus : 230 milliards d'euros d'intentions d'investissement sur 3-5 ans annoncés par les répondants

Après plusieurs mois de tensions géopolitiques mêlées aux pressions de groupes d'intérêts, le Code de bonnes pratiques IA a finalement vu le jour le 10 juillet dernier. Les signatures révèlent des stratégies d'engagement contrastées : Mistral, OpenAI, Anthropic et Microsoft ont signé le Code dans son intégralité ; X s'est limité à la section "Sécurité et sûreté" ; Meta a refusé de signer ; et Google maintient le suspense sur sa position définitive.

Deux semaines avant l'entrée en application des dispositions de l'AI Act sur les modèles à usage général (le 2 août), les lignes directrices afférentes ont également été publiées. Elles clarifient des notions fondamentales telles que "fournisseur de système d'IA", "mise sur le marché d'un modèle" et conditions de dérogation open source. Le calendrier d'application reste échelonné : supervision par la Commission à partir du 2 août 2026, conformité des modèles existants jusqu'en août 2027.

Du nouveau pour les données à caractère personnel

Les développements récents comportent un impact systémique significatif, articulés autour de deux dynamiques : les batailles judiciaires qui testent le modèle publicitaire “pay or consent” et les travaux de simplification du RGPD qui font des émules.

Le Comité européen de la protection des données (EDPB) avait publié son avis sur le modèle publicitaire “ciblage ou paiement” (”pay or consent”), qui impose un paiement monétaire comme alternative au ciblage publicitaire. Cet été, Meta a lancé un recours devant la Cour de justice de l’UE contestant la validité juridique de cet avis. Cette stratégie contourne l’obstacle procédural du Tribunal de l’UE (qui avait jugé l’avis non-contraignant donc non-attaquable) en questionnant la notion même d’“acte attaquable”. L’enjeu dépasse le cas Meta : cette bataille juridique pourrait redéfinir durablement le périmètre de contestation des avis EDPB.

Parallèlement, d’autres entreprises expérimentent ce modèle avec des fortunes diverses. L’Autriche vient de consolider sa jurisprudence anti-“pay or consent” : la Cour administrative fédérale a confirmé l’illégalité du système “pay or consent” utilisé par le quotidien DerStandard[.]at, consolidant la jurisprudence nationale de 2023. Le principe juridique désormais établi est clair : un système “ciblage ou paiement” viole la granularité du consentement RGPD, le choix binaire ne respectant pas les exigences de consentement libre et éclairé.

L’EDPB et l’EDPS naviguent dans les eaux troubles de la simplification du RGPD. Dans une position conjointe, les deux organes contestent le relèvement du seuil d’exemption de 250 à 750 salariés sans “évaluation d’impact sur les droits fondamentaux”. Ils pointent un déficit de justification de la part de la Commission et exigent des précisions sur le choix du seuil et son “appropriation dans le contexte RGPD”.

La Commission a lancé ses Implementation Dialogues (”Dialogues de mise en œuvre”) pour recueillir les retours de diverses parties prenantes sur les efforts de simplification en cours. Le numérique fait partie de ces efforts ; ainsi, des Implementation Dialogues dédiés se tiennent où un-e Commissaire en charge du sujet traité échange avec des parties prenantes conviées. (Cf. le programme de la Commission pour 2025)

​Le Dialogue sur la simplification du RGPD a eu lieu le 16 juillet, animé par le Commissaire à la Justice McGrath ; il est responsable de la simplification du RGPD. Un consensus se dégage des contributions de la société civile et des différentes entreprises : contre la réouverture trop large du Règlement. Les points de pression identifiés incluent la reconsidération de l'intérêt légitime “comme base légale favorable à l'innovation” ou encore l’intégration des dispositions de la Directive e-Privacy relatives aux cookies.

Cybersécurité (NIS2) et certification (Cybersecurity Act)

Au creux de l’été, l'Allemagne a transposé la directive NIS2 (même si la loi de transposition n’est pas encore promulguée). Cela amène à 13 les États membres ayant finalisé le processus de transposition. Votre dévouée suit les projets de loi de transposition quand même : pour les pays où le processus est en cours, les textes sont discutés et les détails négociés sont limités à des sujets ne concernant pas les mesures de cybersécurité. Vous devriez vraiment vous pencher sur la mise en œuvre. Concernant la France : on attendait une session publique à l’Assemblée en septembre ; finalement celle-ci n’aura pas lieu, sans qu’une date soit confirmée pour l’instant.

Depuis le démarrage de la Commission et sous l’impulsion de la Présidence polonaise du Conseil, la Commission a entamé la révision du Cybersurity Act (CyberAct pour les intimes) de 2019. Pour rappel, ce règlement a pérennisé l’ENISA et lui a donné mandat d’élaborer des certifications européennes de cybersécurité. On en connaît notamment deux : l’EUCC (dont des certifiés existent déjà) et l’EUCS (l’âprement discutée “certif’ cloud”). La Commission a exprimé son intention d’inclure, dans la révision du Règlement, des mesures pour gérer les “risques non techniques”. En ces termes délicats, pudiques même, sont désignées entre autres les lois telles que le CLOUD Act et le FISA américains qui ont une portée extraterritoriale. La consultation s’est terminée cet été ; la Commission travaille actuellement sur l’élaboration de la proposition de CyberAct révisé (”CyberAct 2”). Un Implementation Dialogue sur le CyberAct est prévu le 15 septembre prochain.

💎 Le dossier thématique de septembre de La tech est politique analysera les réponses à la consultation publique de la Commission sur la révision du Cybersecurity Act.

En parlant de l’Allemagne et de “souveraineté numérique”, un échange épistolaire outre-Rhin mérite notre attention : il s’agit des interpellations entre Claudia Plattner, la patronne du BSI (la sœur allemande de l’ANSSI), et l’Open Source Business Alliance, une fédération professionnelle des acteurs du logiciel libre et open source en Allemagne. Mme Plattner s’est apparemment mal exprimée en disant à l’AFP allemande que “la souveraineté numérique est inatteignable”, déclaration qui a suscité l’ire de l’Alliance. Dans une lettre ouverte, cette dernière à appelé à faire de l’open source et des standards ouverts “une priorité”. En réponse, Mme Plattner a publié une missive détaillée où elle explique la vision du BSI sur le sujet, en insistant sur l’importance d’ “avoir le choix” et en regrettant que “malheureusement, en l’état actuel des choses, on ne peut pas se reposer sur des solutions nationales ou européennes dans certains domaines.”

La bataille de la concurrence (DMA)

​La Commission a lancé la consultation de première évaluation triennale obligatoire du DMA (échéance 3 mai 2026), portant sur l'“atteinte des objectifs généraux” et l'impact sur utilisateurs et entreprises dépendantes. La Commission explore deux pistes d'élargissement : l'extension des obligations d'interopérabilité aux réseaux sociaux ; et l’ajout de “nouvelles catégories de services” au périmètre réglementaire.

Durant cet “été des consultations”, la Commission s’intéresse également aux manières de recentraliser les outils nationaux de concurrence. Elle identifie les déclinaisons nationales du droit de la concurrence, notamment celles portant sur l'abus de position dominante comme menaçant de “fragmenter” le Marché unique européen. Une consultation publique doit l'aider à trancher entre deux leviers : un meilleur système de coordination des autorités nationales ou l'abrogation pure et simple de leur marge de manœuvre.

La régulation des contenus en ligne (DSA)

Cet été a été chaud comme la braise 😅

La saga opposant les règles françaises au cadre européen applicables aux sites pornographiques continue. Les conclusions de l'avocat général de la CJUE (à venir le 18 septembre prochain) porteront sur la compatibilité entre règles françaises et principe du pays d'origine, et pourraient redéfinir les marges nationales. Les conclusions de la CJUE détermineront la capacité des États membres à réguler les contenus pornographiques hébergés dans d'autres pays européens.

Une première : Pornhub, Stripchat et XVideo, désignées Très grandes plateformes (Very Large Online Platforms ou VLOPs) sous le DSA ont publié leurs analyses de risques, demandées dans le cadre de leur conformité au DSA. Les évaluations révèlent des appréciations contrastées : par ex., Pornhub estime le risque de diffusion de contenus d’abus sexuels sur mineurs “improbable” (grâce à sa modération) là où Stripchat considère ce risque comme “critique”.

Sur le volet de la protection des mineurs en ligne, un consensus notable émerge au Parlement européen : l’alignement inter-commissions, avec la commission Culture (CULT) et la commission Marché intérieur (IMCO) convergeant sur les amendements. Les priorités partagées incluent la lutte contre la "conception addictive", la vérification d'âge en ligne ou encore le contrôle du temps d'écran. Cette dynamique forte appelle à un Digital Fairness Act “ambitieux” pour garantir moyens et règles suffisants pour la protection des consommateurs (dont les mineurs) en ligne.

Politique industrielle et compétitivité

Le premier Implementation Dialogue sur le numérique a eu lieu le 1 juillet et portait sur la mise en œuvre du Data Act, du Data Governance Act (DGA) et de la directive Open Data. L’objectif : ”identifier des solutions pour rationaliser et simplifier la réglementation”. Ces échanges alimenteront les travaux de simplification du numérique et la nouvelle Stratégie sur l'Union des données (tous deux attendus en Q4 2025).

Début juillet, la Commission a publié sa stratégie pour une Europe Quantique, décrite comme “un point de départ dynamique” pour placer l’UE “à l’avant-garde” du domaine. Un cadre de coopération structuré entre États membres assurera une implémentation cohérente des programmes européens et nationaux. Le Quantum Act, initialement prévu pour 2025, est reporté à 2026.

La Commission a ouvert une consultation portant sur l’élaboration du 28e régime (régime harmonisé pour les entreprises européennes), avec une proposition de texte attendue début 2026. Trois chantiers principaux : structure et conditions d'accès, procédures d'enregistrement simplifiées, et facilitation de l'accès aux investissements. De son côté, l’eurodéputé René Repasi (Allemagne, S&D), auteur d’un rapport d’initiative sur le sujet, privilégie le véhicule réglementaire de la directive pour introduire dans le droit national une nouvelle forme d'entreprise mutuellement reconnue, l'ESSU (European Start-Up and Scale-Up).

💎Les abonnés premium de La tech est politique ont reçu, entre autres :

• une analyse complète du programme de la Présidence danoise du Conseil de l’UE et ses priorités ;
• des guides actionnables sur l’AI Act pour les éditeurs de SaaS et le Cyber Résilience Act pour les fabricants de produits numériques ;
• un Précis de résilience concret pour les dirigeants pour les aider à se prémunir contre les fraudes aux faux virements.

🎁Vous êtes dans l'édition gratuite mais pas de panique : vous pouvez vous abonner et recevoir toutes les analyses pendant une année 👇

€249.90 / year La tech est politique : Votre avantage stratégique dans le paysage numérique européen Naviguez avec confiance dans la complexité réglementaire de l’UE et transformez les défis en opportunités pour votre... Read more Je m'abonne

​

👉 Si vous ne souhaitez pas vous abonner, vous resterez en abonnement gratuit ; vous n'aurez pas accès aux ressources premium 💎(analyses, dossiers thématiques, agenda, etc.).

🙏 Merci d'avoir lu cette édition de La tech est politique !

Si vous avez des commentaires ou des questions sur cette édition, n'hésitez pas à répondre à ce message.

🌞 Si vous avez apprécié cette édition, pensez à la partager avec vos collègues. Ensemble, aidons à diffuser la compréhension de l'Europe du numérique.

À dans un mois !