Expertises
Droit, technologies & prospectives
interview / Jérôme DEROULEZ
LE RGPD, UNE AVENTURE LÉGISLATIVE
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
Dora : quelles conséquences pour les prestataires de services informatiques ?
L’IA sous la loupe du RGPD
Exécution du contrat : Quelques bons réflexes à adopter et précautions à prendre (3ère partie)
MiCA, DGA, CRA, Data Act, IA Act : enjeux, opportunités et perspectives
Quels faisceaux d’indices pour un entrepôt de données de santé ?
Divulgation de données personnelles d’un tiers à un média : quel régime applicable ?
L'édito du mois
« MAKE ORWELL FICTION AGAIN »
Si Donald Trump ne cache pas sa détestation de Google et des géants du numérique, difficile de prédire qu’elle sera sa politique à leur égard, notamment en matière de modération : poursuivre le laisser-faire de l’Etat, au nom d’un libertarisme anti-régulation, ou agir contre eux, au nom de la très sacrée liberté d’expression ? Une chose est toutefois claire : ce n’est pas bon pour l’Europe.
« Nous devons démanteler le cartel de la censure » des géants de la tech que sont Facebook, Google, Apple et Microsoft « et restaurer le droit à la liberté d’expression des Américains », a annoncé sur X Brendan Carr, le jour de sa nomination par Donald Trump à la tête de la Federal Communications Commission (FCC). Avec leurs politiques de modération des contenus, « les grandes entreprises technologiques ont réduit au silence les Américains qui n’ont fait qu’exercer leurs droits garantis par le Premier amendement. », a -t-il déclaré. Il les accuse ainsi de supprimer ou de bloquer des publications de médias et d’organisations d’information qui « osent s’écarter d’un récit approuvé » jugés « peu fiables » ou « à haut risque ».
Qualifié par le futur Président des Etats-Unis de « guerrier de la liberté d’expression », Brendan Carr qui fait partie de la FCC depuis 2012, est par ailleurs l’auteur du chapitre dédié aux télécoms dans le « projet 2025 », feuille de route pour une révolution conservatrice du think tank Heritage Foundation, dans lequel il fixe comme objectif à la FCC de « reprendre le contrôle des Big Tech ». L’autorité de régulation des télécoms, agence indépendante et supervisée par le Congrès, réglemente les communications interétatiques et internationales et met en œuvre la législation et les réglementations américaines en matière de communications. Bien que la régulation des Big Tech ne relève de la compétence de la FCC, Brendan Carr estime qu’elle doit changer de cap et de règles. Et il appelle à réformer l’article 230 du Communications Decency Act de 1996. Régulièrement décrié pour la grande liberté qu’il accorde aux plateformes et leur absence de responsabilité quant aux contenus qu’elles hébergent, ce texte est aussi accusé par certains Républicains de permettre aux plateformes de « censurer » les pro-Trump.
Passant de la théorie à la pratique dès le lendemain de sa nomination, Brendan Carr a envoyé une lettre aux PDG d’Alphabet, de Meta, de Microsoft et d’Apple leur demandant de fournir à la FCC des informations concernant NewsGuard, une organisation qui a joué un rôle dans le ciblage des contenus suspects en ligne, à laquelle les réseaux sociaux ont recours. Il avait donné au « cartel des censeurs » jusqu’au 10 décembre pour fournir des informations à la FCC sur tous leurs produits et services qui utilisent ou permettent à leurs clients d’utiliser NewsGuard, un organisme qualifié d’« orwellien ».
« 1984 » roman dystopique de George Orwell publié en 1948 continue d’être la référence pour dénoncer le totalitarisme, y compris par ceux qui ont inventé le concept de « faits alternatifs ». L’administration Biden n’avait-elle pas été accusée par les Républicains de vouloir instaurer un « ministère de la Vérité » lorsqu’elle avait créé le Disinformation Governance Board au sein du département de la Sécurité intérieure des États-Unis en 2022 qu’elle avait finalement dissoute ? Le 29 octobre dernier, Elon Musk, de son côté, publiait sur X la photo d’un homme caché portant une casquette « Make Orwell Fiction Again », un slogan utilisé par les trumpistes en référence au révisionnisme historique et à la désinformation dénoncés dans « 1984 ».
Si l’administration Trump fait ce qu’elle dit en matière de modération, les géants de l’internet risquent de se retrouver écartelés entre deux positions inconciliables, l’américaine et l’européenne. Reste à savoir si les Européens seront en mesure de continuer à faire appliquer les DSA et le DMA puis bientôt l’IA Act face à la pression d’un Donald Trump, défenseur des entreprises américaines et hostile à la régulation européenne. Henna Virkkunen, commissaire européenne en charge de l’application de ces règlements, a promis d’être « rigoureuse ». À voir.
Le focus du mois
Moins de crédit pour le CIR
Le Parlement s’apprête à adopter la première réforme du crédit d’impôt recherche qui va dans le sens d’une économie. À condition que le budget soit adopté.
Les critiques à l’égard du coût élevé du crédit d’impôt recherche (CIR), première niche fiscale et mécanisme d’incitation le plus onéreux des pays de l’OCDE, ne datent pas d’hier. Il a cependant fallu attendre la crise budgétaire actuelle pour qu’une fenêtre s’ouvre en vue d’une réforme du dispositif. Sous pression, le gouvernement est revenu sur son opposition à modifier ce régime, pour financer le rétablissement temporaire du crédit d’impôt innovation (CII) et du statut de jeune entreprise innovante (JEI) qu’il voulait supprimer. Ce changement figurera probablement dans la loi de finances pour 2025, à condition que le gouvernement Barnier résiste au vote du budget.
Le CIR permet aux entreprises de récupérer 30 % de leurs dépenses en recherche et développement (R&D) jusqu’à 100 millions d’euros, puis 5 % sur les sommes additionnelles. Il avait été introduit dans la loi de finances pour 1983 afin d’instaurer un mécanisme d’incitation fiscale en matière de recherche scientifique et technique des entreprises. Si le cadre juridique figurant à l’article 244 quater B du code général des impôts est resté inchangé, le CIR a fait l’objet de réformes successives. La première de 2004 a conduit à un doublement de la créance (885 M€), puis celle de 2008 a amplifié cette progression, en multipliant par cinq le montant des créances, pour atteindre 4 452 M€ dès la première année de la réforme. La créance de CIR a ainsi été multipliée par quinze entre 1994 et 2024. Le nombre de bénéficiaires du crédit d’impôt n’a par ailleurs pas cessé d’augmenter, aboutissant à une dépense fiscale de 7 193 M€ en 2022. Les grandes entreprises sont celles qui ont déclaré le plus de dépenses de R&D (38 % du total des dépenses déclarées) ; leur créance étant cependant équivalente à celle des PME, ces dernières représentant 89 % des bénéficiaires. Telles sont les données issues du rapport de l’Inspection générale des finances (IGF) de mars 2024 « Revue de dépenses : les aides aux entreprises ».
S’il existe un consensus pour maintenir ce dispositif, nombreux sont ceux qui appellent à sa réforme pour le rendre moins onéreux et plus efficace. Une étude de la Direction générale du Trésor de 2021 concluait au faible rendement macroéconomique. En septembre 2022, un rapport du Conseil d’analyse économique avait considéré que le CIR était un dispositif important de soutien à la R&D privée qu’il convient de « pérenniser mais dont la générosité pour les grands groupes détériore l’efficacité. À l’inverse de nos voisins allemands et anglais, ce dispositif bénéficie de manière disproportionnée aux grandes entreprises et n’est pas suffisamment centré sur les petites et moyennes entreprises. Pourtant, ce sont ces entreprises qui sont les plus innovantes et pour lesquelles le rendement du CIR est le plus important. En modulant certains paramètres du CIR tout en gardant son enveloppe constante, ce Focus montre comment l’État peut significativement renforcer l’impact du CIR et l’effet d’entraînement sur l’innovation et la productivité ».
Par ailleurs, les rapports de la Commission nationale d’évaluation des politiques d’innovation (CNEPI) de juin 2021 et celui du Conseil des prélèvements obligatoires (CPO) d’octobre 2021 ont eux aussi confirmé la pertinence du CIR en estimant toutefois que son efficience pourrait être améliorée. S’appuyant notamment sur ces deux rapports, l’IGF a recommandé de revoir l’assiette du dispositif sur les dépenses de R&D, en conformité avec les standards internationaux. Elle proposait ainsi l’exclusion des dépenses liées aux brevets, à la normalisation et à la veille technologique de l’assiette des dépenses éligibles, la révision de certains paramètres de calcul du crédit d’impôt reposant sur des logiques forfaitaires et la bonification pour les jeunes docteurs ; ce qui permettrait de générer environ 400 M€ d’économies.
Malgré toutes ces études, le gouvernement de Michel Barnier n’a pas touché au CIR, dans le budget 2025 présenté le 11 octobre dernier, contrairement au crédit d’impôt innovation (CII) et au statut de jeune entreprise innovante (JEI) qui ont été supprimés. Mais face à la mobilisation parlementaire, du monde de la recherche et de l’écosystème de la French Tech, le gouvernement a finalement cédé en acceptant de réformer le CIR, à la marge toutefois, afin que les 430 millions d’euros d’économies dégagées permettent de prolonger le CII et le JEI.
Du fait du rejet du volet « recettes » du PLF 2025 par les députés (ce qui les empêche de discuter du volet « dépenses »), les sénateurs ont donc travaillé à partir du texte initial, et ont introduit, par voie d’amendement approuvé par le gouvernement, la réforme des modalités du CIR. Le 20 novembre 2024, la commission des affaires économiques du Sénat a adopté les crédits de la mission « Recherche ». L’aménagement de l’assiette se traduit par trois mesures, qui reprennent finalement celles de l’IGF. Il s’agit de la suppression du dispositif « jeunes docteurs », « dont l’application actuelle aboutit à ce que le montant de l’aide versée à l’entreprise dépasse, dans certains cas, le coût supporté par l’entreprise », de l’exclusion de l’assiette du crédit d’impôt des frais liés aux brevets, des dépenses de normalisation et des dépenses de veille technologique, qui ne constituent pas des dépenses de recherche et développement selon la définition retenue par l’OCDE et d’une modification paramétrique du niveau de prise en compte des frais de fonctionnement. Un autre amendement introduit par le Sénat prévoit de faire passer de 10 % à 15 % le taux réduit de taxation des revenus issus de certains actifs de propriété industrielle, de l’exploitation de brevets ou assimilés (IP box).
Le Sénat devrait jouer un rôle particulièrement important cette année, car le texte qui devrait être adopté servira de référence pour les discussions en commission mixte paritaire. Cette fenêtre de réforme du CIR pourrait toutefois vite se refermer, en cas de censure du gouvernement.
L'invité du mois
Interview / Jérôme Deroulez
Le RGPD, une aventure législative
Jérôme Deroulez était conseiller au sein de la représentation française auprès des institutions européennes à Bruxelles et, à ce titre, il a suivi de près les négociations de textes européens dont le RGPD. Il raconte le processus législatif européen où la Commission, le Parlement et le Conseil jouent leur partition mais en continuelle interaction et en constante relation avec les Etats membres dont le travail d’influence est conséquent au travers de leur délégation. Il relate le parcours législatif du RGPD qui a été particulièrement long et complexe en raison de ses enjeux politiques et économiques et de la nouveauté de son approche. Un contexte de négociation qui rappelle celui du règlement sur l’IA.
Sylvie Rozenfeld : Vous avez été magistrat, conseiller au sein de la représentation française auprès des institutions européennes et à ce titre vous avez suivi de près les négociations de textes européens dont le RGPD. Aujourd’hui, vous êtes avocat aux barreaux de Paris et de Bruxelles, spécialisé dans les données personnelles et les technologies du numérique et vous continuez de suivre l’évolution des textes numériques dont l’IA Act.
On connaît assez mal le rôle de la représentation française auprès des institutions européennes. Quel est-il ? Vous avez suivi les négociations du RGPD et d’autres textes, quel a été votre rôle de conseiller ?
Jérôme Deroulez : Les ministères sont présents au sein des représentations permanentes de chaque Etat membre à Bruxelles, auprès des institutions européennes. Et le premier objectif des conseillers est de participer et de suivre les négociations au Conseil de l’Union européenne. Le rôle de ces conseillers a évolué avec l’introduction de la co-décision, à savoir la méthode législative ordinaire dans laquelle le Parlement est désormais impliqué « à armes égales » avec le Conseil, qui est issue du traité de Lisbonne entré en vigueur fin 2009. Les rapports entre le Parlement et le Conseil, ainsi que la façon de négocier ont été modifiés, notamment dans le domaine de la protection des données. Dans beaucoup de représentations, chaque conseiller intervient au Parlement et au Conseil.
Et aussi auprès de la Commission européenne ?
Aussi. La Commission commence par organiser des réunions d’experts, des auditions, des communications. Le Parlement peut aussi pousser un sujet, il organise des auditions, des événements, etc. Quand on sait qu’il y a des sujets en gestation, c’est le moment pour les représentations des Etats membres de rencontrer des personnes de la Commission pour savoir ce qu’elle souhaite ou pour lui proposer de rencontrer des experts ou de lui signaler qu’ils ne sont pas du tout intéressés par le sujet ou que le moment n’est pas opportun. On peut également faire passer un message par un commissaire français ou d’autres commissaires pour que le texte ne passe pas au collège des commissaires ou pour modifier la position. On rencontre et on travaille avec la Commission sur chaque texte. Donc, on suit les travaux avant que le texte ne soit officiellement proposé, on étudie la proposition quand elle est rendue publique et on évalue sa position dans le cadre des négociations. On voit si, au fur et à mesure du processus législatif, elle va vouloir coller à son texte ou pas, ou le laisser évoluer. Selon les sujets, on peut aboutir à un texte très éloigné de la proposition initiale.
Le rôle de la représentation consiste-t-il à faire comprendre sa position et à influencer les institutions européennes ?
C’est un travail d’influence qui est cadré et normé. Les échanges avec la Commission ou au Parlement se font en toute transparence, selon des formats différents (techniques ou politiques) et sont inscrits sur les registres. Ensuite, le texte peut être stoppé dans le cadre de la co-décision par une minorité de blocage ou les positions adoptées vont remettre en question l’architecture initiale d’un projet. Le processus d’adoption d’un texte n’est guère différent au niveau national, il est un peu plus complexe du fait qu’il y a 27 Etats membres.
Les Etats interviennent donc tout le long du processus législatif.
En effet. Pour la France, le pilotage est effectué par le secrétariat général aux affaires européennes avec l’implication des conseillers « Europe » du Président de la République, du Premier ministre et de tous les conseillers concernés suivant les textes. Le secrétariat général valide les positions interministérielles de chaque texte que les conseillers à Bruxelles vont devoir porter. Ensuite, cette position peut ne pas être suivie par les autres Etats ou ne recueillir qu’un soutien minoritaire, avec une minorité de blocage ou non ou disposer d’un soutien majoritaire. Il va y avoir des allers et retours dans la négociation des textes avec l’intervention d’un conseiller, accompagné d’un expert technique du ou des ministères concernés. Les délégations peuvent varier selon la complexité et la technicité des sujets. Quand j’ai notamment participé aux négociations de droit international privé sur les règlements Rome I et II sur la loi applicable aux obligations contractuelles et non contractuelles, la délégation pouvait comprendre des experts sur des points très spécifiques.
Comment ça s’est passé pour le RGPD ?
Le texte a nécessité une coordination forte au niveau interministériel car il y avait beaucoup d’enjeux politiques. Il a impliqué plusieurs ministères avec des sujets complexes comme l…
Les doctrines du mois
Dora : quelles conséquences pour les prestataires de services informatiques ?
Afin de gérer les risques liés à l’utilisation des technologies de l’information dans le secteur financier, le règlement européen Dora va imposer aux prestataires informatiques qui travaillent avec des entités financières un nouvel environnement réglementaire et une collaboration avec les autorités financières.
L’IA sous la loupe du RGPD
L’Autorité belge de Protection des Données décrypte les enjeux de la protection des données dans le développement et l’utilisation de l’IA et offre une analyse approfondie des enjeux juridiques liés à la conception, au développement et au déploiement de solutions d’IA.
Exécution du contrat : Quelques bons réflexes à adopter et précautions à prendre (3ère partie)
Comment faciliter le bon déroulement du projet et anticiper un éventuel contentieux ? Après une première partie de cette étude portant sur la période avant de contracter, publiée dans le n° 505, une deuxième partie consacrée au moment de la contractualisation (n° 506), l’auteur conseille dans cette dernière partie quelques bons réflexes à adopter et précautions à prendre au stade de l’exécution du contrat.
MiCA, DGA, CRA, Data Act, IA Act : enjeux, opportunités et perspectives
Lors de la dernière édition des Assises de la sécurité d’octobre 20241, les thématiques juridiques relatives à NIS22 et DORA3 ont été largement évoquées. Il est apparu important cependant de faire un point sur d’autres règlementations qui sont plus méconnues bien qu’étant toutes aussi importantes. En effet, le dynamisme de la Commission européenne semble actuellement sans limites avec des textes tels que MiCA4, DGA5, Data Act6, CRA7, IA Act8… Sous l’apparence d’un « mille-feuille règlementaire d’acronymes », il apparaît essentiel de détecter le fil rouge qui conduit la démarche européenne en matière de cybersécurité. Une présentation de ces textes au prisme des objectifs poursuivis apparait dès lors essentiel.
Quels faisceaux d’indices pour un entrepôt de données de santé ?
Dans une récente affaire, la Cnil a appliqué un faisceau d’indices pour qualifier une base de données d’entrepôt de données de santé. Ce type de décision (publiée) est suffisamment rare pour être souligné.
Divulgation de données personnelles d’un tiers à un média : quel régime applicable ?
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités de contrôle nationales au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question de savoir s’il est possible, dans les médias, de communiquer, en toute légalité, les données personnelles d’un tiers. La solution est-elle différente si les données communiquées ont déjà été rendues publiques par ce tiers ?