DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK

Par Stéphanie Faber, le 24 septembre 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le quatrième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

Mécanismes internes de réclamation

La loi DUA renforce les droits individuels en introduisant un droit formel pour les personnes concernées de déposer des réclamations directement auprès des responsables du traitement.

Dans la pratique, cela obligera les organisations à réviser leurs politiques de traitement des données (« privacy policy ») afin de mentionner ce nouveau droit et à mettre en place des mécanismes internes de réclamation accessibles et appropriés, généralement sous la forme de formulaires ou de portails en ligne.

Cette mesure devrait, à terme, alléger la charge réglementaire qui pèse sur l’autorité de contrôle anglaise en obligeant les personnes concernées à épuiser les procédures internes de réclamations auprès des responsables du traitement avant de saisir directement l’autorité de contrôle.

Continuer la lecture

L’UE sollicite des contributions sur le paquet numérique de simplification (Omnibus numérique)

Par Stéphanie Faber, David Naylor et Simon Sepesi, le 22 septembre 2025 Publié dans DROIT DU NUMERIQUE, PROTECTION DES DONNEES PERSONNELLES

Le train de mesures omnibus sur le numérique (ou paquet numérique sur la simplification) vise à réduire la lourdeur de certaines formalités grâce à des services « numériques par défaut » et la mise en œuvre du principe « once only » (« Une seule fois ») qui permettra aux entités publiques de mutualiser les données des citoyens et des entreprises au lieu de les exiger séparément à chacune de leurs démarches.

Le 16 septembre 2025, la Commission européenne a lancé un appel à contributions afin de recueillir des avis et informations sur les meilleures pratiques pour son futur paquet numérique de simplification. Il s’agit d’un nouvel appel à commentaires qui fait suite à des consultations antérieures sur la stratégie pour une Union des données, la révision du règlement sur la cybersécurité et la stratégie pour l’application de l’IA.

Continuer la lecture

DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK

Par Stéphanie Faber, le 17 septembre 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le troisième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

La loi DUA introduit la notion d’« intérêt légitime reconnu » comme nouvelle base juridique qui permettra à certains types de traitements d’être effectués sans qu’il soit nécessaire de procéder à une évaluation de l’équilibre avec les droits et libertés des personnes.

Une liste est incluse en annexe 1 du RGPD britannique. Il s’agit notamment du traitement à des fins telles que la protection de la sécurité nationale, la réponse aux situations d’urgence, la détection de crimes ou l’enquête sur des crimes ou criminels, la protection des personnes vulnérables, ou encore la divulgation aux autorités publiques lorsque celles-ci déclarent avoir besoin des données pour une mission d’intérêt public (sans qu’il soit nécessaire de vérifier la légitimité de la demande par les autorités). Le Secretary of State pourra modifier cette liste.

Continuer la lecture

Contrôles de la DGCCRF : les agents dotés de nouveaux pouvoirs d’enquête et de sanction

Par Marion Seranne et Saeid Abedi, le 12 septembre 2025 Publié dans CONFORMITE - ESG, DROIT COMMERCIAL ET ECONOMIQUE

La loi n° 2025-594 du 30 juin 2025[1], entrée en vigueur le 2 juillet 2025, a pour objectif de renforcer les mesures de lutte contre les différents types de fraudes aux aides publiques, notamment celles relatives aux rénovations énergétiques (certificat d’économie d’énergie, label RGE, DPE etc.), à l’adaptation du logement au vieillissement ainsi qu’au démarchage téléphonique.

Cette loi prévoit en outre une suspension des aides en cas de suspicion de fraude, une hausse des pénalités en cas de fraude ainsi qu’un renforcement des échanges d’informations entre différentes autorités[2] dans l’objectif de rendre les opérations de contrôle plus efficaces.

Parmi les acteurs intervenant dans cette lutte, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (« DGCCRF ») s’inscrit à nouveau comme « […] un acteur clé de l’adaptation de notre économie aux nouveaux enjeux » [3] et voit ses pouvoirs d’enquête et de sanctions renforcés.

Continuer la lecture

Rupture brutale des relations commerciales : quelques rappels et précisions utiles

Par Laure Perrin, le 11 septembre 2025 Publié dans CONTRATS – OBLIGATIONS - RESPONSABILITE

Nous vous proposons ci-dessous une revue de quelques décisions rendues en 2025 par la Cour de cassation en matière de rupture brutale des relations commerciales, donnant l’occasion de rappels et précisions utiles concernant notamment les modalités de l’indemnisation, la qualification de la relation commerciale ou la détermination de la juridiction compétente.

1. La rupture partielle est indemnisable, mais uniquement sur la perte partielle de marge, ni plus, ni moins

En application de l’Article L. 442-1 II du Code de commerce, il est admis qu’en matière de relations commerciales établies, le préjudice résultant d’une rupture partielle est indemnisable. La rupture partielle peut résulter de divers scénarios factuels (baisse de commandes, arrêt de commercialisation de certains produits, changement de stratégie ou de partenaire sur une gamme de produit etc.), mais qu’elle requiert dans tous les cas la démonstration d’une modification substantielle de la relation commerciale[1].

De jurisprudence constante, le préjudice issu d’une rupture brutale partielle est évalué à partir de la marge brute[2] escomptée durant la période de préavis qui n’a pas été exécutée[3].

Récemment, la Cour de cassation s’est à nouveau prononcée sur le préjudice indemnisable dans le cadre d’une rupture brutale partielle et rappelle sa position (Cass. Com. 29 janvier 2025, n°23-19.972).

Continuer la lecture

DUAA 2025 : prise de décision individuelle automatisée au UK

Par Stéphanie Faber, le 9 septembre 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le deuxième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

L’un des changements notables réside dans l’assouplissement des règles relatives aux décisions individuelles fondées sur un traitement automatisé, tout en maintenant des protections fondamentales.

Ancien régime

Sur le modèle de l’article 22 du RGPD, l’ancien régime du RGPD britannique, interdisait de prendre une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques sur la personne concernée ou ayant sur elle des effets significatifs similaires (telles les décisions affectant son statut juridique ou ses droits, ou ayant un impact équivalent sur son comportement, sa situation ou ses choix).

Continuer la lecture

Le cadre de transfert de données personnelles vers les États-Unis reste valide

Par Stéphanie Faber, le 5 septembre 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Au grand soulagement du monde des affaires, le cadre de protection du transfert de données entre l’UE et les États-Unis (Data Privacy Framework ou « DPF ») n’a pas été invalidé par le Tribunal de l’Union européenne le 3 septembre ! (Affaire T-553/23)

Data Privacy Framework ou « DPF »

Lorsque la Commission européenne estime qu’un pays tiers assure un niveau de protection adéquat, les transferts de données personnelles vers ce pays peuvent avoir lieu sans autre autorisation, sur la base de la décision d’adéquation adoptée par la Commission.

Le 10 juillet 2023, la Commission européenne a officiellement décidé de l’adéquation du Data Privacy Framework ou « DPF » : les organisations américaines certifiées conformes audit cadre, peuvent recevoir des données personnelles provenant de l’Espace économique européen (l’« EEE ») sans qu’il soit nécessaire d’appliquer des garanties supplémentaires, telles que les clauses contractuelles types, et/ou de procéder à l’évaluation des risques du transfert.

Le DPF remplace deux cadres précédents, le Safe Harbor, et son successeur, le Privacy Shield, qui tous deux ont bénéficié successivement d’une décision d’adéquation de la Commission européenne jusqu’à ce que chacune de ces décisions soit, tour à tour, invalidée par la Cour de justice de l’Union européenne (la CJUE), dans les arrêts Schrems I (en 2015) et Schrems II (en juillet 2020).

Continuer la lecture

Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK

Par Stéphanie Faber, le 1 septembre 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le premier d’une série qui examinera les changements apportés par le « Data (Use and Access) Act 2025 » au Royaume-Uni par comparaison au RGPD.

La réforme

Le régime britannique de protection des données connaît actuellement sa plus importante transformation depuis l’adoption du « RGPD britannique ». Le « Data (Use and Access) Act 2025 » ou « DUAA » – en français, loi de 2025 sur les données (utilisation et accès) – a été adopté par la Chambre des lords et la Chambre des communes le 11 juin 2025 et a reçu la validation royale le 19 juin 2025. Présentée comme une évolution plutôt qu’une réforme majeure, la loi anglaise, que nous désignerons par « Loi DUA », vise à répondre à l’objectif du gouvernement britannique de rééquilibrer la protection de la vie privée, l’innovation et le pragmatisme réglementaire dans le but ultime de promouvoir la croissance économique.

La Loi DUA contient des dispositions sur d’autres sujets, comme par exemple, les services de vérification digitale par des tiers de confiance.

Cette loi est moins radicale que le projet de loi du gouvernement précédent (conservateur) qui avait suscité des inquiétudes quant au fait que le Royaume-Uni puisse perdre la décision d’adéquation de la Commission européenne au titre du RGPD de l’UE. Le gouvernement actuel s’est attaché à mettre en œuvre une réforme préservant le statut d’adéquation du Royaume-Uni.

Continuer la lecture

Assouplissement du RGPD pour les PME ?

Par Bartolomé Martín et Stéphanie Faber, le 24 août 2025 Publié dans PROTECTION DES DONNEES PERSONNELLES

Le 21 mai 2025, la Commission européenne a publié une proposition de nouveau règlement visant à simplifier plusieurs instruments juridiques de l’UE, notamment le Règlement Général de Protection des Données (RGPD). L’objectif annoncé est d’alléger les obligations de conformité pour les petites et moyennes entreprises (TPE/PME) et d’étendre certains avantages réglementaires aux « petites sociétés mid cap » (acronyme anglais « SMC ») – une catégorie d’entreprises qui est souvent confrontée à des contraintes réglementaires comparables à celles des grandes entreprises, mais qui ne dispose pas de ressources équivalentes.

Dans le domaine de la protection des données, la proposition se concentre notamment sur la révision de l’obligation de tenir des registres des activités de traitement prévue à l’article 30 du RGPD. Elle propose de relever le seuil d’effectif à partir duquel cette obligation s’applique et de préciser que la tenue de registres ne serait requise que lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes.

Certains pourraient voir dans cette réforme une montagne qui accouche d’une souris.

Continuer la lecture

Le Code des bonnes pratiques de l’UE en matière d’IA à usage général : réflexion sur les choix stratégiques dans un cadre réglementaire en évolution

Par Bartolomé Martín et Stéphanie Faber, le 29 juillet 2025 Publié dans DROIT DU NUMERIQUE

Le règlement européen sur l’IA « RIA » (ou en anglais « AI Act ») entre progressivement en vigueur. Si la plupart de ses dispositions ne s’appliqueront pas avant août 2026, des exigences clés relatives aux « modèles d’IA à usage général » (acronyme anglais « GPAI ») entreront en vigueur beaucoup plus tôt, à avoir à compter du 2 août 2025.

En prévision de cette étape importante, le Code de Bonnes Pratiques pour les modèles d’IA à usage général a été publié (en anglais) sur le site internet de la Commission européenne, le 10 juillet 2025. Il s’agit d’un référentiel auquel les fournisseurs de systèmes d’IA à usage général peuvent choisir d’adhérer. Il a été élaboré par des experts indépendants dans le cadre d’un processus multipartite réunissant près de 1 000 participants (fournisseurs de modèles d’IA à usage général, fournisseurs en aval, organisations industrielles, société civile, titulaires de droits et autres entités, ainsi que des universitaires et des experts indépendants). Le Code représente un premier effort pour traduire les obligations du RIA, spécifiques aux IA à usage général, en mesures pratiques.

Continuer la lecture