Archives par mot-clé : Europe

AI Act et obligations : ce qui change le 2 août 2025 pour les nouvelles IA à usage général

Publié le par

Le 2 août 2025 marque une étape décisive dans l’application du règlement européen sur l’intelligence artificielle. Les fournisseurs qui mettent sur le marché – à partir de cette date – des modèles d’IA à usage général doivent d’emblée se conformer aux obligations de cet AI Act. Explications.

Seulement certains fournisseurs de systèmes d’IA à usage général – souvent désignés par le sigle GPAI pour General-Purpose AI – ouvrent à partir du 2 août 2025 le bal des obligations prévues par le règlement européen sur l’intelligence artificielle – appelé aussi AI Act (1) et adopté le 13 juin 2024. Car cette échéance-là ne concerne pas toutes les « GPAI », mais uniquement celles mises sur le marché à partir de ce 2 août 2025. Le Bureau de l’IA (AI Office), créé par le AI Act, rattaché à la Commission européenne (2) et dirigé par Lucilla Sioli (photo), joue un rôle central.

Nouveaux entrants GPAI pénalisés ?
Aussi curieux que cela puisse paraître, les ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Llama (Meta), Le Chat (Mistral AI) ou encore Perplexity (Perplexity AI) – pour n’en citer que quelques-uns parmi une bonne dizaine d’IA génératives déjà existantes et disponibles dans les Vingt-sept – ne sont pas encore concernés puisque leurs IA génératives respectives à usage général ont été lancées sur le marché avant le 2 août 2025. Pour celles-ci, elles bénéficient d’un délai de deux ans supplémentaires – soit d’ici le 2 août 2027 – pour se conformer aux obligations de l’AI Act.
Ainsi, contrairement aux nouvelles GPAI qui vont faire leur entrée sur le marché européen, les IA « historiques » bénéficient en quelque sorte d’un répit non négligeable. Pendant que les IA « nouvelles entrantes » doivent sans délai se soumettre aux obligations qui peuvent s’avérer lourdes : documentation technique, informations aux intégrateurs, résumé public des données d’entraînement, politique de respect du droit d’auteur, désignation d’un représentant officiel dans l’UE si le fournisseur est situé hors de l’UE, … Edition Multimédi@ se demande dans ces conditions si (suite)

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Un « Cloud & AI Act » européen proposé fin 2025

Publié le par

En fait. Le 3 juillet, lors des 19e Assises du Très haut débit à Paris, la présidente de l’Arcep a appelé la Commission européenne à une régulation ex-ante du cloud et de l’IA « s’inspirant des succès de la régulation des télécoms en France ». Bruxelles prépare un « Cloud & AI Act » pour le 4e trimestre 2025.

En clair. La Commission européenne va proposer au quatrième trimestre 2025 un règlement sur « le développement de l’informatique en nuage et de l’IA ». Le Parlement européen, destinataire de cette proposition législative, pourrait débattre de ce texte dès le premier trimestre 2026.
Ce Cloud & AI Development Act (« CAIDA ») fait partie des priorités numériques de « la boussole pour la compétitivité » sur laquelle la Commission « von der Leyen II » s’est engagée en janvier 2025 (1). Ce projet est également consigné dans la lettre de mission adressée en septembre 2024 (2) à la vice-présidente exécutive de la Commission européenne, Henna Virkkunen. Pour mener ses travaux législatifs sur le futur CAIDA, la Commission européenne va s’appuyer sur les réponses à son appel à contributions qui s’est achevé le 3 juillet. « Le processus de construction [des centres de données] exige des capitaux importants, créant ainsi des barrières à l’entrée pour de nouveaux acteurs. […] Les problèmes recensés [difficultés d’accès aux ressources naturelles (énergie, eau, terres) et d’obtention des composants technologiques et des capitaux] ont (suite)

Les Etats généraux de l’information (EGI) attendent toujours et encore leur projet de loi

Publié le par

Dix mois après la fin des Etats généraux de l’information (EGI), le texte de loi promis par la ministre de la Culture Rachida Dati – censé en reprendre les recommandations – verra-t-il le jour avant l’entrée en application, le 8 août 2025, du règlement européen sur la liberté des médias (EMFA) ?

« Bonjour Madame Rachida Dati, j’imagine que vous êtes au courant, mais votre projet de holding pour l’audiovisuel public vient d’être rejeté [le 30 juin 2025] à l’Assemblée nationale [où cette proposition de loi reviendra en deuxième lecture en septembre, après un vote bloqué au Sénat le 11 juillet dernier, ndlr]. […] Mais vous pouvez en tirer du positif : votre défaite n’est-elle pas l’occasion de vous mettre au travail à la suite des Etats généraux de l’information et de réfléchir enfin aux conditions d’indépendance des rédactions dans les médias privés ? ». C’est ainsi que l’économiste Julia Cagé et professeure à Sciences Po a interpellé la ministre de la Culture (photo), dans un post publié sur LinkedIn le 1er juillet (1).

Projet de loi « EGI » avant le 8 août ?
Il s’est écoulé dix mois depuis la fin des Etats généraux de l’information (EGI), avec la restitution publique le 12 septembre 2024 au Conseil économique, social et environnemental (Cese) de la quinzaine de recommandations faites pour renforcer le pluralisme, la transparence et l’indépendance des médias en France : transparence sur les actionnaires des médias et leur gouvernance, comités d’éthique, chartes déontologiques, administrateurs indépendants, journalistes associés à la prise de décisions, secret des sources, droits voisins, éducation aux médias, … Le gouvernement tarde à donner suite aux EGI (voulus par Emmanuel Macron), dont le rapport de 352 pages (2) reste pour l’instant lettre morte.
Fin novembre 2024, lors d’un colloque sur l’audiovisuel organisé par le cabinet NPA, Rachida Dati avait assuré qu’il y aura « évidemment » un projet de loi dans la suite des EGI : « Mon intention est de reprendre l’exhaustivité des recommandations des Etats généraux de l’information », avait promis la ministre de la Culture, après avoir évoqué les grandes lignes du (suite)

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite)