Section 1
Protection des données personnelles
Le Règlement général sur la protection des données (RGPD, 2016/679) est applicable depuis le 25 mai 2018 dans tous les États membres de l'UE. Il s'applique à tout traitement de données à caractère personnel dès lors que le responsable de traitement ou la personne concernée est établi dans l'UE (principe d'extraterritorialité).
Principes fondamentaux
Bases légales du traitement (art. 6 RGPD) : Consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes (sous réserve des droits de la personne). Le consentement doit être libre, spécifique, éclairé et univoque — le pré-coché ne vaut pas consentement (CJUE, Planet49, 2019).
Droits des personnes & sanctions
Les personnes concernées disposent de droits d'accès, rectification, effacement (droit à l'oubli), portabilité, limitation du traitement et opposition. Les violations peuvent entraîner des amendes jusqu'à 20 M€ ou 4% du CA mondial. La CNIL est l'autorité de contrôle française.
Section 2
Commerce électronique
La loi pour la confiance dans l'économie numérique (LCEN, 2004) transpose la directive 2000/31/CE. Elle établit un régime de responsabilité allégée pour les hébergeurs (responsabilité conditionnée à la connaissance effective d'un contenu illicite) et les fournisseurs d'accès (simple conduit).
Contrat conclu en ligne
Le Code de la consommation impose pour les contrats à distance (art. L. 221-1 s.) : information précontractuelle exhaustive, délai de rétractation de 14 jours, bouton de commande « commander avec obligation de payer », et interdiction des cases pré-cochées pour des options non choisies.
Section 3
Cybersécurité
La directive NIS2 (2022/2555) étendue à quelque 18 secteurs critiques impose des obligations de sécurité des réseaux et systèmes d'information, de gestion des risques cyber et de notification des incidents dans les 24h à l'autorité compétente (en France, l'ANSSI pour les OIV et les entités importantes).
Infractions numériques (C. pénal) : L'accès frauduleux à un STAD (art. 323-1), le maintien frauduleux, l'atteinte aux données, l'entrave au fonctionnement d'un système, et le cyberharcèlement (art. 222-33-2-2) sont pénalement sanctionnés. Les juridictions interrégionales spécialisées (JIRS) et le parquet cybercriminalité (J3) sont compétents pour les affaires complexes.
Section 4
Régulation des plateformes
Le Digital Services Act (DSA, 2022/2065) établit un cadre de responsabilité des plateformes en ligne proportionné à leur taille et à leurs risques. Les très grandes plateformes (TGPSE, +45 M utilisateurs UE) sont soumises à des audits indépendants, des évaluations des risques systémiques et à la surveillance directe de la Commission européenne.
Le Digital Markets Act (DMA, 2022/1925) impose des obligations ex ante aux contrôleurs d'accès (gatekeepers : Apple, Google, Meta, Amazon, Microsoft, ByteDance) pour garantir la contestabilité des marchés numériques (interopérabilité, portabilité, interdiction auto-favoritisme).
Section 5
Intelligence artificielle
L'AI Act (règlement UE 2024/1689) instaure une approche par niveaux de risque : systèmes d'IA interdits (manipulation subliminale, scoring social), systèmes à haut risque (biométrie, recrutement, justice, médecine) soumis à des obligations de qualité, transparence et supervision humaine, et systèmes à faible risque avec obligations de transparence minimales.
IA générative & GPAI : Les modèles d'IA à usage général (GPAI — ChatGPT, Gemini, Llama…) sont soumis à des obligations de transparence et de publication du résumé des données d'entraînement. Les modèles présentant un risque systémique (>10^25 FLOPs) doivent subir des évaluations approfondies. Pleine application : août 2026.
Section 6
Méthode & ressources
La matière évolue très rapidement. Consultez régulièrement le Journal officiel de l'UE et les délibérations CNIL. Pour les cas pratiques : identifier le régime applicable (RGPD, LCEN, AI Act), qualifier les acteurs (responsable de traitement, sous-traitant, hébergeur), les obligations et les sanctions encourues.