Arcom 2026-2028 : le coordinateur DSA français durcit sa régulation des plateformes — trois signaux pour les DPO

19/5/26
👈 les autres actualités

L'Arcom a présenté le 19 mai 2026 son projet stratégique 2026-2028. Derrière un texte d'apparence audiovisuelle, le régulateur — qui est aussi le coordinateur des services numériques pour la France au titre du DSA — annonce une montée en pression sur les plateformes en ligne, la protection des mineurs et l'IA générative. Trois sujets qui n'appartiennent pas formellement au RGPD, mais qui croisent quotidiennement le travail des DPO.

Ce qui s'est passé

Après quatre ans d'existence post-fusion CSA/Hadopi, l'Arcom resserre ses priorités autour de trois axes : protéger les publics dans l'espace numérique, garantir l'indépendance et le pluralisme de l'information, soutenir le financement de la création. Le président Martin Ajdari assume un cadrage politique : « À la nécessité d'une plus forte régulation des plateformes en ligne, à l'échelle européenne et nationale, pour protéger les individus, en particulier les plus fragiles, se conjuguent les risques induits par les désordres informationnels pour notre démocratie, les incertitudes sur les impacts de l'intelligence artificielle générative. »

Côté chiffres mis en avant par l'Autorité : 83 % des mineurs de 11 à 17 ans déclarent avoir été exposés à au moins un risque en ligne (cyberharcèlement, contenus choquants, défis dangereux) et 44 % des jeunes Français accèdent aux réseaux sociaux avant 13 ans — l'âge plancher fixé par l'article 8 du RGPD.

Pourquoi c'est important — la convergence DSA / RGPD / AI Act

Le plan stratégique acte explicitement l'usage du DSA comme levier opérationnel. L'Arcom va poursuivre le contrôle de la vérification d'âge sur les sites pornographiques et les très grandes plateformes, y compris dans le cadre de la nouvelle majorité numérique. Ce chantier prolonge directement la Recommandation européenne du 29 avril 2026 sur la vérification d'âge et la procédure DSA ouverte contre Meta sur la protection des moins de 13 ans. Pour les DPO, le rappel est utile : l'auto-déclaration d'âge n'est plus tenable, et les organisations qui traitent des données de mineurs doivent documenter dans leur AIPD la combinaison technique retenue — y compris, à terme, l'application UE basée sur le zero-knowledge proof dont la Commission a annoncé en avril 2026 qu'elle est techniquement prête.

Deuxième signal : l'Arcom inscrit la prise en compte des risques liés à l'IA générative dans son périmètre. Elle promet une « action coordonnée » avec ses partenaires européens, ce qui en pratique veut dire articulation avec l'AI Act et le Bureau de l'IA. Pour les organisations, l'effet pratique se cumule avec les nouvelles obligations de transparence et de marquage des contenus synthétiques imposées par l'AI Act, et avec les durcissements du Digital Omnibus sur les deepfakes intimes.

Troisième signal : l'Arcom annonce une montée en charge sur l'accessibilité numérique (RGAA), avec un constat sévère — « l'écrasante majorité des services numériques du secteur public n'est pas accessible ». L'Autorité va prioriser le traitement des signalements et automatiser le suivi de conformité. C'est un sujet qui n'est pas RGPD au sens strict, mais qui partage les mêmes acteurs internes (DSI, DPO, juridique) et la même logique de registre, de documentation et de preuves.

Ce que ça change pour les organisations

Trois actions concrètes à inscrire à la roadmap des DPO et RSSI :

1. Vérification d'âge. Si votre organisation traite des comptes utilisateurs potentiellement accessibles à des mineurs (e-commerce, jeux, médias, edtech), inscrivez à votre roadmap une AIPD dédiée à la mécanique de vérification d'âge. La doctrine se durcit en parallèle côté CNIL — l'article 8 du RGPD impose le consentement parental sous 15 ans en France — et côté DSA. L'Arcom va désormais arbitrer entre les deux.

2. Contenus IA et désinformation. Cartographier qui dans l'organisation publie du contenu généré par IA (marketing, support client, communication RH) et préparer le marquage prévu à l'article 50 AI Act, applicable au 2 août 2026.

3. Dépendances aux plateformes tierces. Si vous opérez sur des very large online platforms (VLOP) ou en êtes fortement dépendant (recrutement social, distribution e-commerce, publicité programmatique), suivre les contrôles de l'Arcom devient un signal faible utile à intégrer à la cartographie des risques fournisseurs.

Ce que Leto pense de cette décision

Le plan de l'Arcom n'introduit aucune obligation nouvelle pour les responsables de traitement. Mais il signale clairement où la pression réglementaire française va se concentrer dans les vingt-quatre prochains mois : protection des mineurs, marquage des contenus IA, accessibilité. Trois sujets où la frontière entre DSA, AI Act et RGPD s'efface en pratique — et où les DPO sont, faute de mieux, le point de convergence opérationnel dans l'entreprise. Anticiper plutôt que subir.

Sources : Arcom — Projet stratégique 2026-2028

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026