Archives de l’auteur : Charles de Laubier

A propos Charles de Laubier

Rédacteur en chef de Edition Multimédi@, directeur de la publication.

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le par

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA.

Sept premières fiches pratiques
L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ».

Le 8 avril 2024, c’était au tour de la Cnil de publier des fiches pratiques consacrées à la phase de développement des systèmes d’IA. L’autorité administrative indépendante accompagne les acteurs de l’IA depuis deux ans déjà, comme elle ne manque pas de le rappeler dans son dernier rapport annuel (4), à travers notamment la création d’un service dédié, la publication de ressources et webinaires, ainsi que l’établissement d’une feuille de route articulée autour de quatre piliers : appréhender, guider, fédérer et accompagner, auditer. Ces recommandations font suite à la consultation publique entreprise en octobre 2023, laquelle a réuni une quarantaine de contributions d’acteurs divers (5). Afin de présenter ces fiches pratiques (6), un webinaire a été organisé par la Cnil le 23 avril dernier. L’occasion pour celle-ci d’apporter ses derniers éclairages. Concernant le périmètre d’application, il convient premièrement de préciser que ces fiches pratiques n’ont vocation à s’intéresser qu’à la phase de développement de systèmes d’IA (conception de base de données, entraînement, apprentissage) impliquant un traitement de données personnelles pour les cas d’usage pour lesquels le RGPD est applicable (7). Celles-ci n’ont donc pas vocation à régir la phase dite de « déploiement » d’un système d’IA. Retenant la même définition des « systèmes d’IA » que l’AI Act, sont notamment concernés par ces recommandations : les systèmes fondés sur l’apprentissage automatique, ceux fondés sur la logique et les connaissances (moteurs d’inférence, bases de connaissance, systèmes experts, …), ou encore les systèmes hybrides.
Afin d’aider les professionnels dans leur mise en conformité, la Cnil a défini, à travers sept fiches de recommandations, les bonnes pratiques à respecter sans que celles-ci soient toutefois contraignantes. Ces recommandations tiennent compte des dispositions de l’AI Act et ont vocation à les compléter. La Cnil profite de ces lignes directrices pour rappeler les principes fondamentaux (licéité, transparence, minimisation, exactitude, limitation de conservation des données, …) et obligations majeures découlant du RGPD inhérentes à tout traitement, en les précisant et les adaptant au mieux à l’objet traité : les systèmes d’IA.
Si les recommandations qui suivent concernent majoritairement les responsables de traitement, les sous-traitants ne sont pas délaissés, repartant également avec leur lot de bonnes pratiques. Peuvent à ce titre être cités : un respect strict des instructions du responsable de traitement, la conclusion d’un contrat de sous-traitance conforme à la réglementation en matière de données personnelles ou encore, l’obligation de s’assurer de la sécurité des données sous-traitées (8).

Apports majeurs des recommandations
Prenez soin de définir une finalité déterminée, explicite et légitime pour le traitement projeté. Deux situations sont clairement distinguées par la Cnil, selon que l’usage opérationnel en phase de déploiement du système d’IA est d’ores et déjà identifié, ou non, dès la phase de développement. Dans la première hypothèse, il est considéré que la finalité en phase de développement suivra celle poursuivie en phase de déploiement. De sorte que si celle-ci est suffisamment déterminée, explicite et légitime, alors la finalité en phase de développement le sera également. Dans la seconde hypothèse, et notamment en présence de systèmes d’IA à usage général, la Cnil insiste sur la nécessité de prévoir une finalité « conforme et détaillée ». Elle livre des exemples de finalités qu’elle considère, ou non conformes, précisant à ce titre que le simple « développement d’une IA générative » n’est pas une finalité conforme car jugée trop large et imprécise.

Finalité conforme et responsabilités précises
La méthode à suivre est alors révélée : une finalité ne sera conforme que si elle se réfère « cumulativement au“type” du système développé et aux fonctionnalités et capacités techniquement envisageables » (9). Le secteur de la recherche n’est bien sûr pas oublié. Une tolérance dans le degré de précision de l’objectif ou encore dans la spécification des finalités est évoquée, sans laisser de côté les éventuelles dérogations ou aménagements applicables.
Déterminez votre rôle et vos responsabilités : suis-je responsable de traitement, sous-traitant, ou encore responsableconjoint ? Le développement d’un système d’IA peut nécessiter l’intervention de plusieurs acteurs. Dès lors, identifier son rôle au sens du RGPD peut être parfois délicat et les éclairages de la Cnil sur la question sont les bienvenus. Pour rappel, le responsable de traitement est « la personne […] qui, seul ou conjointement détermine les objectifs et moyens du traitement » (10). Cette qualité emporte son lot d’obligations et de responsabilités, d’où la nécessité de la déterminer avec précision. Les acteurs pourront se référer à la fiche donnant des exemples d’analyse permettant d’identifier son rôle au cas par cas (11).
Effectuez un traitement licite et respectueux des principes fondamentaux. Un rappel des principes à respecter pour tout traitement ne mange pas de pain mais épargne bien des soucis en cas de contrôle. La Cnil s’attarde notamment sur l’obligation de choisir, parmi celles prévues par le RGPD, la base légale la plus adéquate au traitement projeté. Pour le développement de systèmes d’IA, elle explore cinq bases légales envisageables (12) : le consentement, l’intérêt légitime, l’obligation légale, la mission d’intérêt public ou encore le contrat. En cas de réutilisation de données, des vérifications seront à mener et, là encore, les recommandations de la Cnil différent selon l’hypothèse rencontrée et notamment en fonction de la source desdites données (données publiquement accessibles ou collectées par des tiers, …). A titre d’exemple, pour une réutilisation de données collectées par le fournisseur lui-même pour une finalité initiale différente, la Cnil impose, sous certaines conditions, un « test de comptabilité » (13) permettant de s’assurer que la finalité poursuivie est compatible avec la finalité initiale, et rappelle les obligations de fonder son traitement ultérieur sur une base légale valable sans oublier la nécessité d’informer les personnes concernées. Par ailleurs, la Cnil révèle les cas possibles de réutilisation de données collectées par des tiers, ainsi que les obligations qui incombent au tiers et ainsi qu’au réutilisateur de ces données.
Respectez les principes fondamentaux. Le gendarme des données insiste également sur la nécessité de respecter les principes fondamentaux. Ce respect doit s’imposer à tout stade du développement d’un système d’IA, dès sa conception « privacy by design » (14), mais également lors de la collecte et de la gestion des données (15). La Cnil s’attarde particulièrement sur le principe de minimisation, lequel impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (16) déterminées. Si la Cnil s’attache à soutenir que le respect de ce principe « n’empêche pas l’utilisation de larges bases de données » (17) et notamment de données publiquement accessibles (18), il implique nécessairement pour un responsable de traitement de repenser l’entraînement et la conception de ses systèmes d’IA en se posant concrètement les questions suivantes : « Les données utilisées et/ou collectées sont-elles vraiment utiles au développement du système souhaité ? Ma sélection est-elle pertinente ? Pourrais-je mettre en place une méthode à suivre plus respectueuse des droits et libertés des personnes concernées ? Si oui, par quels moyens techniques ? ».
A titre de bonnes pratiques, la Cnil recommande d’ailleurs d’associer au développement du projet un comité éthique et de mener une étude pilote afin de s’assurer de la pertinence de ses choix en matière de conception d’un système d’IA (19). Par ailleurs et conformément au principe de limitation des données de conservation (20), les durées de conservation des données utilisées seront à déterminer préalablement au développement du système d’IA. La Cnil appelle, à ce titre, à consulter son guide pratique sur les durées de conservation (21). Ces durées devront faire l’objet de suivi, de sorte que les données qui ne seront plus nécessaires devront être supprimées. Le respect de ce principe ne s’oppose pas à ce que, sous certaines conditions, des données soient conservées pour des durées plus longues, notamment à des fins de maintenance ou d’amélioration du produit.

Analyse d’impact (AIPD) nécessaire
Enfin, réalisez une analyse d’impact quand c’est nécessaire. L’analyse d’impact sur la protection des données (AIPD) permet d’évaluer et de recenser les risques d’un traitement en vue d’établir un plan d’action permettant de les réduire. Cette analyse AIPD (22) est, selon les cas, obligatoire ou bien fortement recommandée. A la lumière de la doctrine de la Cnil et de l’AI Act, les entreprises et organisations doivent à présent mettre en place leur mise en conformité, avec des points très réguliers. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

IA génératives, contrefaçons, exceptions au droit d’auteur et opt out : où se situent les limites ?

Publié le par

Adopté par les eurodéputés le 13 mars 2024, l’AI Act – approuvé par les Etats membres en décembre 2023 – va être définitivement voté en plénière par le Parlement européen. Mais des questions demeurent, notamment sur les limites du droit d’auteur face aux intelligences artificielles génératives.

Par Vanessa Bouchara, avocate associée, et Claire Benassar, avocate collaboratrice, Bouchara & Avocats.

Si l’utilisation des intelligences artificielles (1) est désormais largement répandue, ces techniques et technologies capables de simuler l’intelligence humaine restent au cœur de nombreux questionnements – tant éthiques que juridiques. Alors même que le projet de règlement européen visant à encadrer l’usage et la commercialisation des intelligences artificielles au sein de l’Union européenne, dit AI Act (2), a été adopté en première lecture le 13 mars 2024 par le Parlement européen (3), c’est l’intelligence artificielle générative – IAg, AIG ou GenAI – qui est aujourd’hui sujette à controverse.

Droit d’auteur et procès en contrefaçon
A l’origine du débat les concernant, il importe de rappeler que les systèmes d’IAg ont pour particularité de générer du contenu (textes, images, vidéos, musiques, graphiques, etc.) sur la base, d’une part, des informations directement renseignées dans l’outil par son utilisateur, et, d’autre part et surtout, des données absorbées en amont par l’outil pour enrichir et entraîner son système. Les systèmes d’intelligence artificielle générative sont ainsi accusés d’être à l’origine d’actes de contrefaçon, et pour cause : l’ensemble des données entrantes dont ils se nourrissent peuvent potentiellement être protégées par des droits de propriété intellectuelle. Où se situe donc la limite entre l’utilisation licite de ces données et la caractérisation d’un acte de contrefaçon ? Si, par principe, la reproduction de telles données est interdite, le droit européen semble désormais entrouvrir la possibilité d’utiliser celles-ci dans le seul cadre de l’apprentissage de l’IAg.

Alors que la 5G peine à remplacer la 4G, la 5G-Advanced sera déployée à partir de fin 2024

Publié le par

Dans le monde, sur l’ensemble des connexions mobiles, la 5G ne dépasse pas encore les 20 %. En France, les abonnés 5G représentent encore seulement 17 % du parc de cartes SIM. Mais déjà se profile la 5G-Advanced que certains opérateurs mobiles déploieront à partir de fin 2024, en attendant la 6G.

Lentement mais sûrement. Au 31 décembre 2023, la France comptait 72,6 millions de cartes SIM actives sur les réseaux 4G et 5G (1). En réalité, la 4G continue de dominer face à la 5G qui peine toujours à se généraliser : elle ne représente que 17 % des abonnés mobiles, soit 14 millions de cartes SIM 5G activées, d’après l’Arcep, bien loin des 72,6 millions de cartes 4G. Au niveau mondial, ce n’est guère mieux puisque la 5G ne génère que 18 % des connexions mobiles, d’après la GSMA, l’association internationale des opérateurs mobiles.

2 milliards d’abonnés 5G fin 2024
Sur 5,6 milliards d’utilisateurs de mobiles, 4,7 milliards ont accès à Internet, dont seulement 1,6 milliard via la 5G. Selon l’équipementier télécoms suédois Ericsson (2), la barre des 2 milliards d’abonnés 5G sera franchie fin 2024. Pourtant, cette cinquième génération de mobile a été lancée pour la première fois il y a cinq ans (en 2019 en Corée du Sud). Un échec à l’allumage ? Certes, la croissance de la 5G reste prometteuse et devrait s’imposer plus rapidement que la 4G ne l’avait fait après son lancement en 2009. Rien qu’en France, toujours selon les chiffres de l’Arcep au 31 décembre 2023, le nombre de cartes SIM activées sur les réseaux 5G – notamment d’Orange, de Bouygues Telecom, de Free et de SFR – progresse à un rythme soutenu : + 15,7 % au dernier trimestre de l’an dernier et + 64,7 % sur un an grâce à respectivement 1,8 million et 5 millions de cartes SIM 5G supplémentaires (voir graphique ci-dessous).

La société DStorage continue de défendre la licéité de son service d’hébergement 1fichier.com

Publié le par
La société DStorage, fondée il y a 15 ans par son actuel PDG Nessim Yohan Tordjman, défend inlassablement la légalité de son service d’hébergement 1fichier.com qualifié à tort de « site illicite ». Dernière action en date : un droit de réponse publié par l’Alpa dans la dernière étude de Médiamétrie. La société vosgienne DStorage fête ses 15 ans, ayant été créée le 9 avril 2009 par son PDG Nessim Yohan Tordjman, un ancien administrateur systèmes et réseaux de chez Free durant dix ans. Elle exploite notamment le site d’hébergement 1fichier.com, qui est souvent désigné depuis plus de dix ans comme « site illicite » ou « site illégal » par les ayants droit. Mais que cela soit devant la justice ou auprès des médias, DStorage ne cesse de défendre la légalité de son service de stockage. « Pas plus illicite que Wetransfer ou Google Drive » Ce fut encore le cas fin mars, DStorage ayant obtenu de l’Association de la lutte contre la piraterie audiovisuelle (Alpa) un « droit de réponse » qui, selon les constatations de Edition Multimédi@, a été inséré dans sa dernière étude « Audience des sites illicites dédiés à la consommation vidéo en France ». Celle-ci montre l’évolution du piratage audiovisuel sur Internet de décembre 2021 à décembre 2023. Cette étude mise en ligne le 7 mars dernier a été commanditée auprès de Médiamétrie par l’Alpa, présidée depuis plus de 20 ans par Nicolas Seydoux (photo). Le site 1fichier.com y est désigné comme étant en tête du « Top 10 » des « sites illégaux les plus utilisés », avec plus de 1,3 million de visites uniques sur le mois de décembre 2023, devant Yggtorrent.qa (0,65 million) ou encore Wawacity.autos (0,5 million). Toujours en décembre 2023, 1fichier.com dépasse même le site légal Paramount+ en termes d’audience. Le droit de réponse est apparu dans l’étude quelques jours après sa publication, soit fin mars (1), à la demande de l’avocat de la société DStorage, Ronan Hardouin. « La société DStorage souhaite attirer l’attention du lecteur de cette étude sur les largesses de qualification juridique que s’autorise l’Alpa en ciblant le service de cloud storage 1fichier.com comme un site illicite. Le service 1fichier.com n’est pas plus illicite que les services de cloud storage comme Wetransfer ou Google Drive. Il ne peut être assimilé à des fermes de liens », assure l’entreprise de Nessim Yohan Tordjman. Et son droit de réponse de poursuivre : « Aucune juridiction n’a d’ailleurs considéré 1fichier.com comme un service illicite malgré les tentatives d’ayants droit appuyant leurs prétentions en étroite collaboration avec l’Alpa. Les efforts de la société DStorage dans la lutte contre les contenus illicites ne peuvent ainsi être éludés : procédure de retrait des contenus – interdiction d’utiliser le service pour porter atteinte aux droits de propriété intellectuelle de tiers ». Le droit de réponse de la société vosgienne se termine ainsi : « Le service 1fichier.com est donc un service d’hébergement licite soumis au régime de responsabilité limitée prévu par la loi pour la confiance dans l’économie numérique [la LCEN de 2004, ndlr] et ne peut être qualifié de manière discrétionnaire par l’Alpa de “site illicite” ». A noter qu’une autre demande d’exercice d’un droit de réponse avait parallèlement été envoyé au directeur de la publication de Edition Multimédi@, qui, dans son n°318 daté du 25 mars, avait mentionné 1fichier.com comme étant, d’après Médiamétrie, un « site illégal » (2). « La société DStorage, qui dispose d’un siège social en France, prohibe dans ses conditions d’utilisation (3) tout usage portant atteinte aux droits de propriété intellectuelle et informe depuis ses pages sur les conditions de retrait d’un contenu », nous a notamment précisé Me Ronan Hardouin. Or, dans la nouvelle étude à janvier 2024 parue en avril, le droit de réponse n’apparaît plus ni la mention « sites illégaux » (4). Cette mise au point n’est pas la première pour DStorage qui a eu maille à partir avec l’ancienne Hadopi (fondue depuis dans l’Arcom), mais aussi depuis quelques années avec la justice. Devant les tribunaux, la société domiciliée à La Chapelle-aux-Bois (Grand-Est) revendique à chaque fois son statut d’hébergeur « à responsabilité limitée » consacré par la loi française LCEN de 2004, laquelle a transposé il y a 20 ans maintenant la directive européenne « E-commerce » de 2000 qui protège les hébergeurs. Affaires « Nintendo » et « Nancy » en cassation Ainsi, DStorage a croisé le fer judiciaire à Nancy en 2021 avec les membres de l’Alpa (audiovisuel et cinéma), la Fédération nationale des éditeurs de films (FNEF), la Société des auteurs, compositeurs et éditeurs de musique (Sacem) ou encore la Société civile des producteurs phonographiques (SCPP). Dans un arrêt daté du 25 septembre 2023, la cour d’appel de Nancy a condamné DStorage. Avec Nintendo cette fois, la cour d’appel de Paris a confirmé – dans un arrêt du 12 avril 2023 – la condamnation de DStorage. Dans ces deux affaires, Me Ronan Hardouin nous indique que la société DStorage s’est pourvue en cassation. Et depuis 2015, la société vosgienne se bat contre la Société Générale qui l’avait bannie pour « contrefaçon » sur les signalements de l’éditeur indien Zee Entertainment. Cette affaire suit aussi son cours. @

Charles de Laubier

Europe : Nextory diversifie la lecture en streaming

Publié le par

En fait. Le 25 avril, la plateforme suédoise de lecture en streaming Nextory (ex-Youboox en France) a annoncé un nouvel accord avec la filiale française du groupe d’édition américain HarperCollins. Le catalogues de titres francophones s’étoffe, que ce soit en ebooks ou en audiobooks.

En clair. Après la Suède, la Finlande, l’Allemagne, les PaysBas et l’Espagne, voici que le groupe américain d’édition HarperCollins Publishers (filiale du groupe News Corp) – revendiquant la deuxième place mondiale des éditeurs de livres grand public – vient de mettre encore plus de livres numériques et de livres audio francophones sur la plateforme suédoise Nextory (ex-Youboox en France).
Il n’est pas le premier. De grands groupes français de l’édition, tels que Hachette, Editis, Média-Participations ou encore Madrigall (Gallimard, Flammarion et Casterman), se sont déjà lancés dans la lecture en streaming avec Nextory. Au total, la plateforme suédoise créée en 2015 à Stockholm compte à ce jour quelque 1.500 éditeurs francophones (400.000 titres), auxquels se joint maintenant HarperCollins France. Le catalogue européen proposé ainsi en streaming – à partir de 9,99 euros par mois – est riche de 1 million de titres disponibles « en illimité » (1), où l’on trouve aussi bien des livres numériques que des livres audio, mais aussi des BD et des journaux en ligne. Nextory, qui entend « remettre en question ce que signifie “lire un livre” » (2), a absorbé en octobre 2021 la start-up française Youboox fondée dix ans plus tôt par Hélène Mérillon (3), aujourd’hui PDG de Nextory France et chargée des contenus au niveau du groupe suédois. Elle fut aux avant-postes lorsque la question de la conformité de la lecture en streaming en accès illimité par abonnement a été posée en France au regard de la loi du 26 mai 2011 sur le prix du livre numérique.