Chères lectrices et chers lecteurs,

Pour marquer ce début d’année, voici une rétrospective des articles publiés sur mon blog ainsi qu’un exercice de prospective pour 2026.

Avant de me lancer dans cette analyse, j’attire votre attention sur la refonte complète de mon blog. Il utilise toujours un CMS « flat-file » permettant de se passer d’une base de données et de bénéficier d’une navigation et de temps de chargement très rapides. Les résultats du test PageSpeed Insights de Google sont, il faut le dire, stupéfiants.

Je vous souhaite une excellente lecture et vous adresse mes meilleurs vœux pour cette année qui s’annonce, une fois de plus, riche en nouveautés réglementaires et jurisprudentielles.

François Charlet

Rétrospective 2025

Protection des données

L’actualité a été dominée par une série de sanctions importantes en matière de protection des données. En septembre, j’ai analysé trois décisions particulièrement marquantes.

D’une part, la Commission nationale de l’informatique et des libertés française (CNIL) a frappé fort avec deux sanctions : celle infligée à Shein pour violation des règles sur les cookies, et celle prononcée contre Google pour l’insertion de publicités dans Gmail sans respect des exigences du RGPD.

D’autre part, outre-Atlantique, un jury californien a jugé Google coupable de violations graves de la vie privée. Cette décision illustre une convergence, progressive mais réelle, entre les approches européenne et américaine en matière de protection des données personnelles.

Ces sanctions témoignent d’un durcissement notable de l’application du cadre juridique existant. Les autorités n’hésitent pas à sanctionner les géants technologiques, marquant ainsi une évolution significative dans le rapport de force entre régulateurs et opérateurs.

En début d’année, j’avais commenté un arrêt de la Cour de justice de l’Union européenne (CJUE) rappelant les règles relatives au principe de minimisation et de proportionnalité en matière de protection des données. Cette décision illustre la vigilance continue de la juridiction européenne quant au respect des principes fondamentaux inscrits dans le RGPD.

Intelligence artificielle et droit d’auteur

Le droit d’auteur appliqué à l’intelligence artificielle a constitué un thème central de mes publications. J’ai consacré deux analyses approfondies aux affaires opposant Anthropic aux ayants droit.

En juin, j’ai examiné la décision Bartz c. Anthropic, que j’ai qualifiée de « ligne de partage historique entre usage transformateur et piratage ». Cette décision pose en effet les jalons d’une jurisprudence fondamentale sur la question cruciale de l’entraînement des modèles d’IA sur des œuvres protégées.

En mars, j’avais déjà traité de cette même affaire à un stade antérieur du contentieux, permettant ainsi de suivre l’évolution du raisonnement juridique au fil des instances.

Souveraineté numérique : quelle stratégie pour la Suisse ?

L’année s’est conclue en décembre par une réflexion sur la souveraineté numérique suisse, questionnant les choix stratégiques de notre pays face aux grandes plateformes technologiques. Cette réflexion s’inscrit dans un débat plus large sur l’autonomie décisionnelle et technologique de la Suisse dans un écosystème numérique mondialisé.

Perspective 2026

En Suisse

Le 12 février 2025, peu avant que la Suisse ne signe la Convention du Conseil de l’Europe sur l’intelligence artificielle, le Conseil fédéral a défini l’approche suisse en matière de réglementation de l’intelligence artificielle. Contrairement à l’Union européenne qui a opté pour une législation transversale avec l’AI Act, la Suisse privilégie une approche sectorielle respectant sa tradition de neutralité technologique. Ce choix n’est pas anodin : il reflète une philosophie régulatoire distincte, privilégiant l’adaptation progressive du cadre juridique existant plutôt qu’une législation d’ensemble.

La stratégie suisse repose sur trois piliers fondamentaux :

  1. Renforcer la place de la Suisse comme pôle d’innovation en évitant une réglementation trop contraignante qui pourrait freiner le développement technologique ;
  2. Garantir la protection des droits fondamentaux, notamment la dignité humaine, le droit à l’autodétermination informationnelle et l’interdiction de la discrimination ;
  3. Renforcer la confiance de la population dans l’IA par des mécanismes de transparence et de contrôle appropriés.

Le Conseil fédéral prévoit de déposer un projet de consultation d’ici fin 2026 pour déterminer les ajustements législatifs nécessaires concernant notamment la transparence des systèmes d’IA, la protection des données, la non-discrimination et la surveillance.

Il convient de rappeler que la loi fédérale sur la protection des données (LPD), formulée de manière technologiquement neutre, est d’ores et déjà directement applicable aux traitements de données basés sur l’IA. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) l’a d’ailleurs rappelé à plusieurs reprises.

Dès lors, les principes de licéité, de bonne foi et de proportionnalité inscrits à l’art. 6 LPD s’appliquent pleinement aux systèmes d’intelligence artificielle traitant des données personnelles.

En Europe

L’application progressive de l’AI Act

L’AI Act, entré en vigueur le 1er août 2024, connaîtra ses principales échéances d’application en 2026. Le 2 août 2026 marque une date cruciale : la majorité des dispositions du règlement deviendront applicables.

Seront notamment concernées :

  1. Les règles relatives aux systèmes d’IA à haut risque dans des domaines sensibles : biométrie, infrastructures critiques, éducation, emploi, accès aux services publics essentiels, application de la loi, immigration et administration de la justice ;
  2. Les obligations de transparence, imposant que les utilisateurs soient informés lorsqu’ils interagissent avec un système d’IA, conformément à l’art. 50 de l’AI Act ;
  3. L’obligation pour les États membres d’avoir mis en place au moins un bac à sable réglementaire opérationnel, permettant ainsi le développement et le test de systèmes d’IA innovants dans un environnement contrôlé.

Certaines obligations sont entrées en application de manière anticipée. Ainsi, les pratiques d’IA interdites sont applicables depuis le 2 février 2025, tandis que les obligations pour les fournisseurs de modèles d’IA à usage général le sont depuis le 2 août 2025. En revanche, les systèmes d’IA à haut risque destinés à être utilisés comme composants de sécurité d’un produit ne seront soumis aux obligations qu’à partir du 2 août 2027, laissant ainsi un délai supplémentaire aux fabricants pour adapter leurs processus.

La Commission européenne travaille actuellement sur plusieurs outils d’accompagnement. Le Code de Practice sur le marquage et l’étiquetage des contenus générés par IA constitue un élément central de cette stratégie de mise en œuvre. Sa finalisation est prévue pour juin 2026.

Un élément important mérite attention : en novembre 2025, la Commission européenne a proposé le « Digital Omnibus Package », qui vise à simplifier simultanément cinq réglementations numériques majeures (RGPD, AI Act, e-Privacy, Data Act, NIS2). Ce paquet propose notamment un report de 16 mois pour la conformité des systèmes d’IA à haut risque, repoussant l’échéance d’août 2026 à décembre 2027. Les négociations (trilogues) sont attendues au premier semestre 2026, et l’adoption finale pourrait intervenir à l’été 2026. Cette proposition soulève une question légitime : s’agit-il d’un assouplissement pragmatique pour faciliter la conformité des entreprises, ou d’un recul face aux pressions du secteur technologique ? La réponse émergera sans doute au fil des négociations.

Cybersécurité : NIS2 devient une réalité

La directive NIS2, adoptée en décembre 2022, impose des obligations renforcées de cybersécurité à un périmètre considérablement élargi d’entités. En France par exemple, la loi de transposition est attendue début 2026. Cette directive élargit le champ d’application par rapport à la directive NIS1 de 2016, couvrant désormais un spectre bien plus large de secteurs et d’entreprises.

La directive NIS2 impose trois catégories d’obligations principales :

  1. Une responsabilité accrue des organes de direction en matière de cybersécurité, ces derniers pouvant être tenus personnellement responsables en cas de manquements graves ;
  2. Des obligations de notification des incidents dans des délais stricts, permettant aux autorités de réagir rapidement face aux menaces ;
  3. La mise en place de mesures de gestion des risques proportionnées et adaptées à la nature et à l’importance des activités de l’entité concernée.

Les entités concernées sont classées en deux catégories : « essentielles » et « importantes », avec des exigences différenciées. Cette distinction permet d’adapter le niveau d’obligation à la criticité réelle de l’entité pour le fonctionnement de l’économie et de la société.

Conclusion

L’année 2026 s’annonce ainsi comme une année charnière pour le droit des technologies en Europe et en Suisse. Entre l’application progressive de l’AI Act, les discussions sur le Digital Omnibus Package, la transposition de NIS2 et l’élaboration de la stratégie suisse en matière d’IA, le paysage réglementaire connaîtra des évolutions substantielles.

Le défi sera de trouver le juste équilibre entre innovation technologique et protection des droits fondamentaux, tout en préservant la compétitivité économique. Un exercice d’équilibrisme qui, convenons-en, n’a rien de simple dans un contexte de concurrence internationale intense.